The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков

28.11.2018 20:47

Разработчики проекта OpenSSL объявили об изменении нумерации версий библиотеки. Вместо специфичных номеров, помечающих каждое обновление буквой (например, 1.0.2q), начиная со следующего значительного релиза решено применить традиционную нумерацию "Major.Minor.Patch".

Первая цифра (Major) в версии будет меняться только при нарушении совместимости на уровне API/ABI. Для выпусков, наращивающих функциональность без изменения API/ABI будет увеличиваться вторая цифра (Minor). Будущий значительный релиз будет выпущен под номером 3.0.0, а корректирующие обновления будут именоваться 3.0.1, 3.0.2 и т.д. Версия 2.0 будет пропущена для избежания пересечений с находящимся в разработке FIPS-модулем к OpenSSL. Существующие выпуски 1.1.1 и 1.0.2 продолжат обновляться в соответствии со старой схемой нумерации.

Выпуск 3.0.0 также будет примечателен переходом проекта на использование лицензии Apache 2.0 вместо ранее применяемой собственной лицензии OpenSSL, основанной на тексте устаревшей лицензии Apache 1.0. Старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта. Подобные требования делают старую лицензию несовместимой с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL.

Для обхода данной несовместимости GPL-проекты вынуждены были применять специфичные лицензионные соглашения, в которых основной текст GPL дополнялся пунктом, явно разрешающим связывание приложения с библиотекой OpenSSL и упоминающим, что требования GPL не распространяется на связывание с OpenSSL. Без данного пункта распространителям приложения можно предъявить претензию в нарушении GPL.

  1. Главная ссылка к новости (https://www.openssl.org/blog/b...)
  2. OpenNews: Результаты аудита обновлённого генератора псевдослучайных чисел OpenSSL 1.1.1
  3. OpenNews: Значительный выпуск криптографической библиотеки OpenSSL 1.1.1
  4. OpenNews: Проект OpenSSL переносит обсуждение разработки из списка рассылки на GitHub
  5. OpenNews: OpenSSL переходит на новую лицензию, совместимую с GPL
  6. OpenNews: Google перешел c OpenSSL на BoringSSL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49677-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Qwerty (??), 20:53, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –24 +/
    >Для обхода данной несовместимости GPL-проекты

    Давно пора переходить на что-нибудь более нормальное, столько ограничений нет даже в EULA.

     
     
  • 2.2, Stax (ok), 21:14, 28/11/2018 [^] [^^] [^^^] [ответить]  
    		• +11 +/
    Каком именно EULA??
     
     
  • 3.6, хотел спросить (?), 21:28, 28/11/2018 [^] [^^] [^^^] [ответить]  
    		• +16 +/
    MS наверное

    он других не видел ))

     
  • 2.38, Аноним (38), 00:12, 30/11/2018 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Правильно, лучше перейти на другую либу. У openssl ужасен и код, и его качество, и безопасность, и кривая самопальная лицензия, и невменяемое апи. Сделать либу хреновее - придется сильно постараться.
     

  • 1.3, Кома (?), 21:21, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Праздник для Тео и LibreSSL?
     
  • 1.4, X4asd (ok), 21:25, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    ОПЯТЬ ЧТОЛЬ?

    а это что было -- https://www.opennet.ru/opennews/art.shtml?num=46248

     
     
  • 2.15, Аноним (15), 01:58, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Каждий год 31 декабря...
     
  • 2.16, Аноним (16), 02:06, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Там они заявили что перейдут, а тут уже перешли – текущий код на ветке 3.0.0 уже под новой лицензией.
     
     
  • 3.25, Xasd5 (?), 10:12, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    а в момент когда они перейдут "окончательно" -- тоже будет новость про переход? :-)
     
     
  • 4.33, Ушастый (?), 15:04, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    В наше время клипового мышления и потокового потребления постоянный поток информации - это все. Чем больше инфоповодов, тем лучше. Поэтому да, каждый более-менее серьезный проект трубит о себе на каждом углу по любой мелочи.
     
  • 2.35, ваноним (?), 20:33, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    то была «финальная стадия». а теперь уже окончательная, терминальная :)
    может через год таки действительно перейдут.
     

  • 1.5, Аноним (5), 21:26, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну, наконец-то: GnuTLS держись! И бонус с версиями тоже хорошо: не будет теперь этих буковок.

    Хотя после того как столько проектов попереходили на GnuTLS, не говоря уже о появлении кучи разных *SSL библиотек, удастся ли восстановить былую славу?..

     
     
  • 2.12, Аноним (12), 23:47, 28/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    А я чего-то не осилил GnuTLS там не оказалось какого-то сжатия так и бросил это дел,
    а Вы использовали его? На сколько он актуальный сейчас?
     
     
  • 3.14, Аноним (14), 00:07, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Батенька, запомните раз и навсегда: используем TLS - выключаем сжатие, используем сжатие - забываем про TLS.
     
     
  • 4.19, Аноним (5), 03:10, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    А, казалось бы, сжатие только увеличивает энтропию.
     
     
  • 5.20, Аноним (5), 03:13, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    По крайней мере сначала сжать данные, а потом передать их в TLS-стек должно быть безопасно.
     
     
  • 6.24, anonymous (??), 08:41, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Энтропия нешифрованного текста течёт через размер пакета
     
     
  • 7.41, Аноним (38), 00:19, 30/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Энтропия нешифрованного текста течёт через размер пакета

    А в случае сжатия течет даже больше - потому что на размер того что получилось начинает влиять характер данных. При том он сперва достается сжатию, влияя на размер того что получится. А шифрование что, ему сказано шифровать от сих до сих, данные надо передать все, уж как они есть.

     
  • 3.18, Аноним (5), 03:08, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Код OpenSSL эффективнее чем GnuTLS. Один раз запустить wget/curl - всё равно, а вот если больше - тогда становится значительно заметнее.
     
     
  • 4.40, Аноним (38), 00:16, 30/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Код OpenSSL эффективнее чем GnuTLS.

    Особенно эффективно они аппаратный рандом используют - напрямую из проца. Поэтому если вдруг завтра АНБ случайно расшифрует половину вашего трафа, угадав "случайные" ключи - ну извините, господа.

     
  • 3.39, Аноним (38), 00:14, 30/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > А я чего-то не осилил GnuTLS там не оказалось какого-то сжатия так и бросил это дел

    При том его и в openssl выпилить норовят - это шифрование подставляет в некоторых случаях. И поэтому услуга местами оказалась медвежьей, породив семейство CVE с весьма оригинальными способами взлома крипто.

     

  • 1.7, Аноним (7), 21:32, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта.

    Последнее время упоминание OpenSSL в рекламных материалах или в случае поставки OpenSSL в составе продукта является антирекламой. Потому и сменили лицензию.

     
     
  • 2.23, Юзер (??), 07:50, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    Откуда дровишки, товарищ майор?
     

  • 1.8, Crazy Alex (ok), 21:40, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    Ну надо же, кто-то ещё про осмысленную нумерацию помнит
     
     
  • 2.9, пох (?), 22:13, 28/11/2018 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    да, я тоже что-то не пойму, что за ерунда - нет бы объявить, что следом за 1.1.1какаятам следующая будет 112, причем номера будут увеличиваться раз в месяц безотносительно к изменениям в коде, как все нормальные чуваки давно делают, stable api is nonsense, а буквы-ненужно.

     
     
  • 3.13, Crazy Alex (??), 23:58, 28/11/2018 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Вот только stable api nonsense сюда приплетать не надо, в том контексте, о котором оно говорилось - внутриядерные API - оно именно nonsense и есть. А заодно - сильно охлаждает пыл тех, кто хотел бы держать свои модули out of tree и закрытыми.
     
  • 2.27, Аноним (27), 10:41, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    А толку то? Версии 1.х по одной системе нумерации, 2.х по другой, 3.х по третьей. По отдельности каждая система нумерации логична, но все вместе в одном проекте...
     
     
  • 3.28, Andrey Mitrofanov (?), 11:05, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > А толку то? Версии 1.х по одной системе нумерации, 2.х по другой,
    > 3.х по третьей. По отдельности каждая система нумерации логична, но все
    > вместе в одном проекте...

    НОМЕР-СИСТЕМЫ-НУМЕРАЦИ.МАЖОР.МИНОР

    , где НОМЕР-СИСТЕМЫ-НУМЕРАЦИ может быть любой, если он = 3.


    Логично же[I]!

     
  • 2.32, fi (ok), 12:39, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    да, для библиотек такая нумерация mustbe - но сколько чет прошло пока дошло. я помню еще в Sunos4 (1988) появилась эта нумерация.
     

  • 1.10, gred (ok), 22:21, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    ну надо же, на редкость разумное решение
     
  • 1.11, Анонимусис (?), 23:31, 28/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    >Выпуск 3.0.0 также будет примечателен переходом проекта на использование лицензии Apache 2.0

    Ничоси! Всего лишь 20 лет прошло!

     
     
  • 2.29, Andrey Mitrofanov (?), 11:08, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >>Выпуск 3.0.0 также будет примечателен переходом проекта на использование лицензии Apache 2.0
    > Ничоси! Всего лишь 20 лет прошло!

    Не-а.

    "" The ASF adopted the Apache License 2.0 in January 2004. ""

     

  • 1.17, Аноним (16), 02:12, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Дождался! 1.1.1 должна была выйти под новой лицензией, но незадолго до релиза в багтрекере и рассылке подтвердили что выйдет под старой, дабы не задерживать релиз.
     
  • 1.21, Аноним (21), 04:16, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +7 +/
    >Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL.

    Не пользователям, а распространителям. От пользователей GPL ничего не требует, только права дает

     
     
  • 2.30, Andrey Mitrofanov (?), 11:09, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    >>Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL.
    > Не пользователям, а распространителям. От пользователей GPL ничего не требует, только права
    > дает

    Спасибо!  Тож резануло.

     

  • 1.22, Тот_Самый_Анонимус (?), 06:52, 29/11/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    >Подобные требования делают старую лицензию несовместимой с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL.

    Так говорится, будто это что-то плохое. Типа сама ГПЛ позволяет использовать свой код в продуктах под апачем без смены лицензии.

     
     
  • 2.26, Аноним (26), 10:12, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    GPL - категоря Copileft, Apache - permessive. Поэтому почему GPL должна позволять?
     
     
  • 3.31, Andrey Mitrofanov (?), 11:12, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > GPL - категоря Copileft, Apache - permessive. Поэтому почему GPL должна позволять?

    Мечты пермиссивщиков.  Пусть.  Чем бы не тешилось, лишьбы не патчами.

     
     
  • 4.36, ваноним (?), 20:35, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    …а то обкомпилируется с ног до головы, не отмоешь )
     
  • 3.37, Тот_Самый_Анонимус (?), 20:42, 29/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > GPL - категоря Copileft, Apache - permessive. Поэтому почему GPL должна позволять?

    Где я писал что должна?
    Просто несовместимость с ГПЛ это не плохо. Ведь как ГПЛ не должна, так и ей не должны, не?

     
  • 2.42, Аноним (38), 00:20, 30/11/2018 [^] [^^] [^^^] [ответить]  
    		• +/
    > Так говорится, будто это что-то плохое.

    Да не, почему, это хорошо - меньше проектов будет использовать дурную низкокачественную либу с ужасным апи, писаную совсем уж криптомакаками.

     

  • 1.43, iZEN (ok), 00:22, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Послушайте, если такие проблемы с лицензированием и неразбериха в нумерации, то что же ещё может удерживать от перехода на LibreSSL?
     
  • 1.44, dbg (?), 23:59, 01/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Пацаны Semantic Versioning осилили?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру