und Fefe kriegt gleich einen Beißreflex 🙂
Ich finde das erstmal gut. Man muß sich bewußt sein: OpenSSL ist ein Rückgrat des Internet. Marktdurchdrängung vergleichbar mit der von Windows auf dem Desktop — und ob die Alternativen (PolarSSL, GnuTLS, NSS…) besser oder sicherer oder verständlicher sind — wer weiß.
Fakt ist: Ohne OpenSSL gibt es kein Internet und damit auch keine Internet-Wirtschaft. Auch nicht die DTAG 😉
Das dürfte der Grund für die Politik sein, hier Hilfe anzubieten.
Und nur weil Geld fließen könnte, würde das Projekt noch lange nicht verseucht sein, insbesondere dann nicht, wenn das Geld für Auditing genutzt würde. Denn offensichtlich war das fehlende Auditing der Grund für den Heartbleed-GAU. Fehler passieren. Und in einem 11-Mann-Team kennt man sich, da gibts kein wirkliches Code-Review.
Ich habe früher für meine Mutter Korrektur gelesen. Oberstes Gebot: Der Korrekturleser darf nicht vom Fach sein.
Das wäre für Software-Auditing natürlich eine blöde Idee, aber immerhin: die Auditoren müssen extern sein.
Und wenn die deutsche Politik dafür Ressourcen zur Verfügung stellen will: bitte, gern. Besser als ukrainische Schlägerbanden auszubilden allemal.