Der Quellcode der OpenSSL-Bibliothek wird nun einer umfangreichen Sicherheitsüberprüfung unterzogen.
Eine Gruppe von Experten, die sich unter dem Namen Cryptography Services versammeln, startet jetzt mit einem Code-Audit des OpenSSL-Quellcodes. OpenSSL ist eine der wichtigsten Kryptografie-Bibliotheken, die in einer Vielzahl anderer Projekte eingesetzt wird. Sensibilisiert durch den Heartbleed-Bug wurde von der Linux Foundation die Core Infrastructure Initiative gestartet, die jetzt auch den OpenSSL-Code-Audit finanziert. Initiiert wurde der Audit durch das Open Crypto Audit Project, das seinerseits durch einen Audit der Festplattenverschlüsselungssoftware Truecrypt bekannt wurde.
Ein Audit von OpenSSL war bisher auch deshalb schwierig, weil der Quellcode eigenwilligen Formatierungsregeln folgte und schwer lesbar war. Nachdem die Code-Reformatierung nun abgeschlossen ist, kann der Audit durch Cryptography Services beginnen. Im Fokus stehen die TLS-Stacks, der Protokollfluss, Statusübergänge und Speichermanagement. Auch die I/O-Routinen und die wichtigsten Kryptoalgorithmen sollen untersucht werden. Die Parser für ASN.1 und x509 sollen mittels Fuzzying, also der Eingabe von Zufallsdaten, auf ihre Robustheit hin getestet werden.
Die aktuelle Version von OpenVPN wird einem Code-Audit unterzogen.