Na da bin ich ja gespannt. Wenn sie grundsätzlich so weiterwurschteln wie bisher, wirds durch 2 zusätzliche Vollzeitkräfte eher schlimmer als besser.
Die Art, wie openssl plattformübergreifend gemacht wurde, ist eine Krankheit. Ich "durfte" vor langer Zeit (v0.9.6) Teile von openssl zu Demozwecken portieren und seitdem hat sich IMHO außer neuen Features nichts geändert. Hoffentlich finden die Leute den Mut oder bekommen vom Geldgeber auferlegt, mal _richtig_ aufzuräumen statt nur Bugs zu fixen, den Code zu pflegen und neue Funktionalität einzubauen. Viele Basiskomponenten (1000 Kryptoalgorithmen, RNG, ASN.1, ...) könnten komplett rausfliegen und in externen Bibliotheken landen, damit Openssl eine reine SSL-Bibliothek + Verwaltungstools wird, wie der Name eigentlich verheißt. Die verbleibende Baustelle wäre totzdem groß.
DocWindows schrieb:
Die Kernkomponenten des Webs haben sich ja nicht erst gestern herauskristallisiert. ... Da hätte es wenigstens eine Institution mit Weitsicht geben müssen. W3C oder so?!?
Es gibt 3 weitverbreitete SSL-Implementierungen. Aus Sicht von Standardisierungsgremien (IETF, W3C, ...) ist das fast schon eine erfreulich breite Basis. Das auf Serverseite dank Linuxverbreitung so extrem dominant gewordene Openssl hat aus Anwendersicht "zu gut" funktioniert, um ausreichend Druck entstehen zu lassen, der zu neuen Implementierungen geführt hätte.
Kryptozeug _gut_ coden und pflegen IST HART. Ohne wirtschaftlichen Druck oder externe Bezahlung tut sich das niemand freiwillig an, dauerhafte Pflege erst recht nicht. Das Modell mit Geld von Firmen und Orga über die Linux Foundation ist genau der richtige Weg für Software wie Openssl. Daumen hoch!!
BTW: Jede Wette, daß mehrere der beteiligten Firmen im eigenen Haus schon seit vielen Jahren private Openssl-Forks gehegt und gepflegt haben, von denen die Welt leider wenig profitierte. Wirtschaftlich ist das verständlich.
