心脏出血后OpenSSL中发生了什么变化

2020-07-18 00:12:36

下载PDF摘要:上下文:心脏出血漏洞在2014年使OpenSSL引起了国际关注。这个几乎垂死挣扎的项目是公共网络服务器和超过10亿移动设备的关键安全组件。此漏洞导致对OpenSSL的新投资。目的:本研究的目标是确定心血漏洞如何改变OpenSSL的软件演变。我们研究变更抗毁性、代码质量、项目活动和软件工程实践。方法:我们使用混合方法,从网站收集多种类型的定量数据和定性数据,并采访了一位研究心脏出血后变化的开发人员。我们使用回归不连续性分析来确定由心脏出血导致的代码和项目活动度量的级别和斜率的变化。结果:OpenSSL项目在心脏出血后对代码质量和安全性进行了巨大的改进。截至2016年底,每月提交的数量增加了两倍,发现并修复了91个漏洞,代码复杂性显著降低,OpenSSL获得了CII最佳实践徽章,证明其使用了良好的开源开发实践。结论:OpenSSL项目提供了一个模型,说明开放源码项目在发生安全事件后如何适应和改进。OpenSS的发展表明,已知漏洞的数量并不是项目安全性的有用指标。少量的漏洞可能只是表明一个项目不需要花费太多精力来查找漏洞。这项研究表明,与漏洞计数相比,项目活动和CII徽章最佳实践可能是更好的代码质量和安全性指标。