OpenSSL ha publicado un nuevo plan de acción que busca contrarrestar las preocupaciones que lo catalogan como un proyecto que reacciona lenta e inconsistentemente.

El fallo de Heartbleed afectó al 66 por ciento de los servidores web del mundo, se encontró en la tecnología de OpenSSL en abril.

El proyecto OpenSSL llama a sus planes para mejorar la tecnología "aspiracionales" y espera que ayuden a lidiar con los problemas persistentes.

"Este documento tiene por objeto esbozar el plan de acción del proyecto OpenSSL. Se trata de un documento dinámico y se espera que cambie con el tiempo. Los objetivos y fechas deben considerarse aspiracionales" según dice en su introducción.

"El proyecto OpenSSL es percibido cada vez más como lento e insular. Este plan de acción intentará abordar estos problemas estableciendo algunos objetivos de mejora, junto con plazos definidos."

El proyecto OpenSSL ha identificado ocho temas principales que va a tratar: el retraso en su sistema de seguimiento de errores, mala documentación, complejidad de la biblioteca, codificación inconsistente, falta de revisiones de código, ningún plan claro de liberación, ninguna estrategia de plataforma clara y ninguna estrategia de seguridad. Su objetivo es hacer frente a estos a través de una serie de cambios.

En lo que respecta a corregir el atraso de seguimiento de errores, dice:

"Una gran parte de estos problemas han estado abiertos por años. Algunos de estos, de hecho, han sido tratados y ya están cerrados, pero esto no se ha registrado en el sistema. La mayor parte sin embargo, no se han observado."

Para hacer frente a estas cuestiones, el Proyecto OpenSSL abordará sus procesos con el objetivo de hacer frente a las nuevas entradas de errores dentro de los cuatro primeros días, por ejemplo. También definirá un estándar de codificación clara y establecerá una política clara sobre la forma en que hace las revisiones de seguridad. El Proyecto OpenSSL dijo que ya ha comenzado a hacer cambios.

Además de estos cambios en los procesos existentes, el proyecto OpenSSL también está probando nuevos sistemas, incluyendo la compatibilidad con IPv6.

El trabajo se presenta como parte de Linux Fundation, que supervisa la tecnología de OpenSSL con la contratación de dos empleados de tiempo completo para trabajar en el sistema con el fin de ser más proactivos en la búsqueda de problemas.