各大SSL/TLS庫的質量都怎麼樣？

01-01

最近openssl又爆漏洞了https://www.openssl.org/news/secadv/20160301.txt
各大SSL/TLS庫的質量（包括安全性、代碼質量、可維護性、對新協議的支持等）都怎麼樣呢？

比如谷歌、微軟、蘋果、IBM等都有自己主導（或私有）的SSL實現。
附常見SSL實現比較：

Comparison of TLS implementations
cURL - SSL libraries compared

去年USENIX SECURITY會議上有一篇工作對9種不同的TLS實現做了安全分析。這篇文章分析了各種實現的代碼基本框架，以及狀態轉移圖（State Machine），以此作為評判安全性和魯棒性的依據。

基本結論上看 RSA BSAFE 這一個Implementation清晰簡潔，安全性好。

其他的實現，包括OpenSSL，JSSE，等都有一定程度的缺陷，當然現在都也已經修復了。

詳細內容參考：

Protocol State Fuzzing of TLS Implementations

任何實現都有漏洞，openssl還是最大眾功能最齊全的，其實在實際的項目運用中，大家首先考慮的還是功能和學習成本，換我而言，我還是會用openssl。

openssl 應該算是最出名，使用最廣泛的，社區活躍，缺陷一直在修復，但是你知道的，bug這東西越修復越多，而且openssl歷史有點久了，代碼開始變得又臭又長，有一定歷史包袱，要是能做一次重構那就是極好的