年久失修的GnuPG项目接下来该怎么做
jopen 10年前
电子邮件加密软件 GnuPG 项目已获得了 19 万欧元的公众捐款,6 万美元的 Linux 基金会 Core Infrastructure Initiative 资助,以及从 非死book 和 Stripe 分别获得每年 5 万美元的捐款,它有了足够多的资金可以雇佣多名全职开发者。
但长期人手不足的 GnuPG 项目接下来的任务将会很艰巨:代码由于缺少维护而日益复杂,它将如何分配捐款?约翰霍普金斯大学的密码学教授 Matt Green 称他曾指派学生去分析 GnuPG 的源代码寻找漏洞,结果学生个个叫苦不迭,"上帝啊,请永远不要再让我做同样的事情。"
Green 教授说,代码的主要问题是它已经好多年没有恰当维护了,代码在新版的开发过程中已变得过度复杂。代码中可能隐藏着漏洞,而对复杂加密程序进行安全审计将至少需要 10 万美元。Google 和雅虎发起的 End-to-End 项目试图重写 GPG 代码。
来自: Solidot