OpenSSL代替の「LibreSSL」が、デファクトスタンダードになるかもしれない。
セキュリティ問題が発生した、OpenSSLですが、その代替アプリケーケーションとして「LibreSSL」というものの開発が進んでおり、OpenSSLの置換になしそうな感じのようです。
このネーミングの変遷は、オープンソースオフィスソフトのOpenOffice.orgからLibreOfficeへの流れと同様のものを感じます。こちらは、現在のLinuxなどでの採用状況を見るとLibreOfficeが圧倒的に使われているのではないでしょうか。
そこで、今回のLibreSSLですが、元はOpenSSLのセキュリティバグが入る前のバージョンから作りなおしてLibreSSLとしているようですので、信頼度としては結構高いのではないでしょうか?
マイナビでは、このように伝えています。
OpenBSDプロジェクトはOpenSSLのセキュリティ脆弱性(通称Heartbleed)が発覚して以来、OpenSSLのセキュリティ脆弱性やバグを修正する作業に取りかかり、最終的にOpenSSLからフォークした「LibreSSL」プロジェクトを発足させた。OpenBSDは今後OpenSSLをベースシステムから抜き、代わりに「LibreSSL」をTLS/SSLの実装系として採用することになる。
Heartbleedセキュリティ脆弱性が発覚する前にOpenBSDに取り込まれていたOpenSSLの実装と、現在のOpenBSD CURRENTに含まれているLibreSSLを比較すると、ソースコードのサイズで26%ほど、ソースコードの行数で30%ほど量が少なくなっている。OpenBSDプロジェクトはしばらくの間は現在の実装から不要なソースコードの削除や不要な機能の削除を進め、より見通しがよくセキュアなコードにすることを目指している。
現在のLibreSSLはOpenBSDを対象として開発が進められているが、ある程度開発がまとまった段階でFreeBSDやLinuxといったほかのオペレーティングシステムでも利用できるポータブルバージョンが開発されるものとみられている。OpenBSDプロジェクトがサブプロジェクトで取り組んでいるセキュリティ関連のソフトウェアはほかのオペレーティングシステムでも導入される傾向があり、今後LibreSSLがTLS/SSL実装のデファクトスタンダードになるのか動向が注目される。
この記事を読むと、現在のところはLinuxなどの主流のディストリビューションに入るのではなく、まずはBSD系に採用されてから、Linux系に移植されるという流れになるようですね。
この移行が、スムーズに行くと、数年後には「OpenSSLってなんだっけ」というようなことになるかもしれませんね。
