OpenSSL 开发团队宣布了一些关于项目开发策略的变化。其中包括关闭 openssl-dev 列表,选择在 GitHub 上讨论所有的补丁。此外,增加了一个新的面向全世界用户的只读邮件列表 openssl-project (https://mta.openssl.org/mailman/listinfo/openssl-project)。
他们还表示,目前正在改变发布时间表,所以,除非出现紧急的情况,否则安全更新将会在周二发布,而预通知的时间是上一个周二。开发团队表示,他们认为没有必要让大家因为每爆出一个 CVE 漏洞而牺牲自己的周末时间。
对于技术债务方面,除了 GitHub 上的 issue,还要对代码进行重构,以使其更整洁,以及包含更少的错误。他们最近在 libssl 中加入了 PACKET 和 WPACKET API,使得代码变得更加清晰,并且还避免了手写代码的数据包处理错误(比如忘记检查缓冲区的长度)。开发团队还在 GitHub 建了一个新的 "technical-debt" 标签,用于对关于技术债务的内容进行标记。
关于 OpenSSL 的路线图,开发团队表示他们仍然致力于让 TLS 1.3 成为下一个版本的主要特性。当然这必须得等待 IETF 来完成它。此外,他们还将在下一个版本中更改开源许可证。而 OpenSSL 1.1.1 之后的下一个主要功能将是 FIPS。
除此之外,还有加密方面的内容也有改变,详情请查看原文。