「Heartbleed」セキュリティ問題を受け、OpenBSDがOpenSSLフォークの「LibreSSL」を開発

末岡洋子
シェア

 The OpenBSD Projectのメンバーが新プロジェクト「LibreSSL」を立ち上げた。OpenSSLで発見された「Heartbleed」脆弱性問題を受けてのもので、OpenSSLをフォークして新たなSSL/TLSプロトコルのフリー実装を作成するという。次期「OpenBSD 5.6」に導入する予定で開発を進めるという。

 4月初め、OpenSSLのHeartbeat機能に脆弱性が発見された。これは通称「Heartbleed」と呼ばれ、悪用するとOpenSSLプロセスが使用しているメモリの内容を不正に外部から閲覧することが可能になる。OpenSSLは4月7日バグを修正したOpenSSL 1.0.1gをリリースしている。

 LibreSSLではOpenSSLのコードの書き直しや非推奨機能の削除、リファクタリングや修正などを行うという。プロジェクトは主としてOpenBSD Projectによって進められ、The OpenBSD Foundationが支援する。OpenBSDは高い安全性を特徴の1つに掲げるBSD系ディストリビューションで、LibreSSLはまずはOpenBSD向けに開発する。マルチOS対応は、コードの大規模なクリーンナップ作業を通じて安定性のあるベースができたら進めていくという。

 OpenSSLプロジェクトを支援するのではなくLibreSSLとしてプロジェクトを立ち上げる理由について、「既存のコードはぐちゃぐちゃな状態であり、1週間で半分以上のOpenSSLソースツリーを削除した」、「オープンソース(開発)モデルは、コードを読める人に依存し、コードが明確かどうかに左右される。OpenSSLコミュニティは明確さを重要としていない様子で、コードベースはクリーンではなかった」とOpenBSD開発チームは主張している。

LibreSSL
http://www.libressl.org/