年久失修的GnuPG项目接下来该怎么做
| 2015-02-07 22:08 评论: 1 分享: 4
电子邮件加密软件GnuPG项目已获得了19万欧元的公众捐款,6万美元的Linux基金会Core Infrastructure Initiative资助,以及从Facebook 和Stripe分别获得每年5万美元的捐款,它有了足够多的资金可以雇佣多名全职开发者。
但长期人手不足的GnuPG项目接下来的任务将会很艰巨:代码由于缺少维护而日益复杂,它将如何分配捐款?
约翰霍普金斯大学的密码学教授Matt Green称他曾指派学生去分析GnuPG的源代码寻找漏洞,结果学生个个叫苦不迭,"上帝啊,请永远不要再让我做同样的事情。"Green教授说,代码的主要问题是它已经好多年没有恰当维护了,代码在新版的开发过程中已变得过度复杂。代码中可能隐藏着漏洞,而对复杂加密程序进行安全审计将至少需要10万美元。Google和雅虎发起的End-to-End项目试图重写GPG代码。