这个开源软件曾让全球23网站“心脏滴血”现幕后团队终于有了 4

日期:2017-10-11 

0

全球2/3网站“心脏滴血”原标题:这个开源软件曾让,了 4 名全职员现幕后团队终于有工

(心脏滴血)漏洞称为互联网安全历史上最严重的漏洞之一如果把 OpenSSL 的 Heartbleed ,太多人反对想必不会有。

使用最为普遍的网站加密技术SSL(安全套接层)协议是,是开源的 SSL 套件而 OpenSSL 则,web 服务器所使用为全球成千上万的 。漏洞出现后这个严重,的网站可被攻击全球三分之二,是“敞开了门这种攻击还,信息”的那种可以随意掠夺。

4 月 9 日2014 年 ,被曝光后该漏洞,的团队才被媒体争相报道OpenSSL 背后,逐渐为人所知他们的故事。15年20,enSSL 捐款200万元锤子科技罗永浩宣布对 Op,SL 为主角的《隐形战友》后某媒体发表一篇以 OpenS,L “火”了OpenSS。而来的随之,在捍卫我们的隐私?OpenSSL的真实故事》是另一位知名人士对该文章的反对——《到底谁。

中在这几个方面争论的角度集:

么穷吗?之前少有人给他们捐款吗2. OpenSSL 真的有这?

SSL到底是什么样子3.真实的 Open?

23日9月,员参观白山云科技公司时OpenSSL 团队成,L创始人之一OpenSS,友》中的史蒂夫)、OpenSSL前身SSLeay创建者美国前顾问Steve Marquess(也就是《隐形战,Hudson 和白山云科技架构师OpenSSL创始人之一Tim ,洋接受了包括雷锋网宅客频道在内的媒体采访OpenSSL代码贡献榜排名18 的杨。

故事应该由他们自己来说OpenSSL 的真实。

enSSL 发生了什“心脏滴血”后 Op么

此前从没有来过中国Steve 一行人。

星期里这个,员还陆续参观了阿里巴巴、百度、腾讯、华为、锤子科技等Steve 和 OpenSSL 其他 4 名核心成,友杨洋所在的白山云科技最后一站他们来到了好队。

OpenSSL 捐款最多的公司华为和锤子科技确实是中国两家对,云科技的这场活动中Steve 在白山,司表示了感谢先对两家公。

助要比其他任何一个国家都多“我们收到的来自中国的资。eve说”St。

日子已经过得好多了现在 OpenSSL,有两个全职员工相比三年前只,4 名全职员工他们现在有个 ,这次也来到了中国其中两个全职人员。

’是惨痛的经历“‘心脏出血,事情也有好处但是发生这件,有多大程度依赖 OpenSSL这件事情显示了计算技术和互联网,进行了报道很多媒体。严重的安全漏洞它的发生是由于,复杂程度那么高、影响面那么大OpenSSL 规模那么大、,力保障它的安全却没有足够的人,个问题这是。“心脏滴血”漏洞发生的原因”Steve 这样表述了。

然虽,OpenSSL 的真实故事》中在《到底谁在捍卫我们的隐私?,样写道作者这:

出血’漏洞的过程也非常有问题“OpenSSL 公布‘心脏。重漏洞的流程一般出现严,公众公布是先不对,统维护者和相关厂商立即通知主流操作系,先修改让大家,安全公告和升级之后一起发布。这样做之所以,系统不去打补丁是因为如果操作,漏洞也没办法修补很多普通用户知道,容易利用这些漏洞反而让黑客们更。 不是这么做的OpenSSL,告知了他们漏洞之后在 Google ,知任何一家操作系统厂商OpenSSL 没有告, CDN 厂商知道了反而奇怪的被几家主要,是说也就,环节发生了泄密在不知道哪个。这个重大 Bug 的传言之后开源社区中开始有关于,个时候直到这,然没得到正式通知几大操作系统仍。了3天又过,知了Red Hat……OpenSSL 才告”

三天里在那, 到底发生了什么OpenSSL?

:“据我所知Tim 称,互不知情的情况下独立发现的心脏滴血事件是由两个团队。作出的反应负责我只对我们所,没办法负责对其他公司。常严重的危险级别当时这个漏洞是非,是当时认为合理的措施我们所采取的措施也。么、谁发现了什么漏洞整个过程中谁做了什,公开的这都是,网站上查得到可以在我们的。”

大的事情出了这么,ve说Ste,队来讲日子确实不好过对于一个人手有限的团。无名的团队瞬间火了一个看上去本来籍籍, 的好朋友Steve,问:“最近老在电视上看到你甚至连他的牙医都关心地询,要紧?要不”

段时间那一,L 倍感压力OpenSS,批评的声音收到了很多,履薄冰他们如,能重蹈覆辙担心未来可,些鼓励的反馈但也收到了一。 觉得温暖的是让 Steve,非洲国家都发来了鼓励的邮件一些他甚至都没听过名字的,发来了“令人鼓舞的信息”以前团队不太关注的中国也。

个全职员工的团队“除了扩展到有 4,的成员尽管有自己本职工作一些 OpenSSL ,一些 OpenSSL 的工作但是他们的公司会鼓励他们做,式给我们提供了支持这些公司以间接的方。技、华为这两个中国企业给我们的资助我们还收到数百个中国人以及锤子科,比其他任何一个国家都多我们收到中国的资助要。eve 说” St。

经历了重建这个团队,前欠下的技术债从系统上还了之。进行很好的重构与精减的代码这些技术债是指一些之前没有,入新代码和功能后来又不断加, 做了梳理和筛减OpenSSL,结构变得不透明尽可能让内部,新代码库他们有了,是在这个期间完成第一次重要审计也。

前此,L 团队管理混乱的声音还有诟病 OpenSS,ve称Ste,到了改善情况得, “贡献者”和10位管委会成员现在OpenSSL 有14位,名是身兼两职其中有 8 。

队成员此次来到中国OpenSSL 团,促成的是杨洋。

想象的是让人难以,人在线年和一个,面是一种怎样的体验但从来没有线下见过。SL 团队中在OpenS,常见的现象这是十分。以想象的是更让人难,队总共在线下见过三次面OpenSSL 整个团。

14 年德国的一次会议后第一次见面发生在 20,奇妙的体验那是一种,团队的成员走进一间会议室十几个OpenSSL ,视频聊天过尽管有些人,面不相识但还是见。

国:属于几个老友的相聚第三次碰面则是这次在中。

penSSL 团队相识杨洋在两三年前与 O,在阿里巴巴那时他还, 的接触属于项目对接与 OpenSSL,penSSL 贡献代码当时他还没有兼职为 O。年底去,白山云科技杨洋加入,他异地远程办公由于公司允许,enSSL 贡献代码并支持他同时为 Op,10 点到下午 6 点为白山云科技工作目前这个在家乡沈阳工作的小伙子从上午 ,nSSL 处理相关事宜及贡献开源代码从晚上 8 点到凌晨三点为 Ope。前目, OpenSSL 贡献榜上根据代码量和代码质量排行的,全球18位杨洋排名,名第一位中国区排。

杨洋和 OpenSSL 的渊源后这家创业才两年的白山云科技得知,他的工作十分支持,人聚会变成了一次 OpenSSL 的中国行并将本来是杨洋与OpenSSL 的一次私,员与中国著名互联网公司之间的交流沟通全力协助 OpenSSL 团队的成,队没人懂中文由于这个团,程陪同翻译杨洋还要全。

前此, OpenSSL 贡献时间和代码国外也有一些公司支持自己的员工为,中国但在,enSSL 成员并不多像杨洋这样的兼职 Op,研究员的 360 CERT&Gear Team 的石磊到白山云科技现场支持的还有同为 OpenSSL 安全。

实上事,enSSL的真实故事》这篇文章所言诚如《到底谁在捍卫我们的隐私?Op,助 OpenSSL 并非没有人和公司捐,者公司直接捐款给 OpenSSL 的基金会捐助 OpenSSL 的方式有几种:个人或,会捐款给OpenSSL 通过 Linux 基金,工时间给 OpenSSL …公司或个人贡献开源代码或者员…

评者说得那么乐观不过情况也并非批。 告诉雷锋网Steve,家基金会除了自,目前对 OpenSSL 捐款只有 Linux 的基金会,有传说中那么大捐款的数额没,两位全职人员的全年工资只负担这三年来新增的,得到其他基金会的关注OpenSSL 尚未,企业和个人的捐款不过也有一些其他。

一些咨询的合作“我们主要做,尔这样的公司比如帮英特。5 年里面在过去 ,是从商业性的合作中获得的我估计 1/4 的营收。ve 说”Ste。

管是公司还是个人Tim 说:“不,献代码都有捐,研究、评估我们会进行。可以的话如果觉得,软件鸣谢名单里我们会加入到。贡献的形式也有一些,是代码有的,是文档有的,们找错误等有的是帮我,是什么不管,很欢迎的我们都是。”

年前三,穷到只有“一点点收入”OpenSSL 确实。

ve称Ste,如洗的程序员 Stephen HensonOpenSSL 团队有一个极具才华但是一贫,么程度?Steve 说Stephen穷到什,时候都震惊了穷到我知道的。

相识 15 年却依然没有见过面的老友Steve 和 Stephen 是,hen 性格独特因为 Step,常害羞的人是一个非,坐过飞机从来没,照都没有甚至连护。是但,e 认为在工作上最靠得住的人Stephen 却是Stev,项目快结束时迟交过代码他从来没有在任何一个。

提到此前,是前美国的顾问Steve ,好的声誉拥有良,只是一个不出名的程序员早期 Stephen ,en 顺利获得这些项目为了能让 Steph,己的名义签下这些项目Steve 只能以自,en 全程完成让 Steph。时有,入都从Steve 这里获得Stephen 一整年的收。订任何协议下在两人没有签,的信誉作担保一个以自己,自己处理财务上的事情一个完全信任对方帮助,持了很多年这种默契维。

战友》这篇文章的翻译版时Steve 读到《隐形,表的半年后了已经是文章发。的“英雄主义”色彩对于文章所呈现出,ve 称Ste,夸张了确实。

思的是有意,还把文章发给了杨洋当时 Steve ,言过其实的一些细节两人一起讨论文章中。

认的是不可否,章发布后这篇文,到了一些不错的反馈OpenSSL 收,件和捐款找了上来一些来自中国的邮。

等人成立 OpenSSL 的动机雷锋网编辑没有问 Steve 。讲中已经提到因为他在演,OpenSSL如果要加入 ,因为钱绝不是,坚持下来如果要,言编程技能、恒心以及兴趣一定要有过硬的 C 语。

是替自己写代码“开源的不光,比较多挑战。有商业上的意义我们希望代码,雇佣我们的员工有些公司愿意。只着眼于利润但有些人如果,的时间和资金来做开源可能没有耐心投入正常。员和程序员离开了我们团队这也是为什么有的开发人。为例以我,SSL 当作兴趣来做我可以把 Open,贷款还清了我把房子的,毕业了女儿,行什么钱不欠银,自己饿肚子不用担心,penSSL 的工作上因此花了大量时间在 O。SSL 相关的咨询赚到了钱我甚至通过做一些 Open,及到 OpenSSL现在有很多公司都会涉,方面的咨询所以需要这。ve 说”Ste。

则称杨洋,st for fun”自己做这件事情“ju,音乐、看电影一样就跟大家喜欢听。

L 和 Steve 关于 OpenSS,些传闻和误解事实上也有一。

ve 称Ste,自由职业咨询顾问他的工作是一个,务各行各业的客户所做的事情就是服,另外一个项目从一个项目到,0 多年做了 4。前此,要接触军火交易还有传言称他。实上事,进行过军火交易他本人并没有,、导弹比如枪。这种传闻之所以有,政府有一个规定是因为此前美国,系统被视为武器密码或者加密,eve 必须申请武器方面的从业执照所以与军方有过一次合作项目的 St。

OpenSSL 时Steve 加入,默无闻的组织这还是一个默,澄清他,烈的英雄主义情结自己并没有那么强,未让他获得所谓“英雄”的感觉这个默默无闻的组织起初也并。滴血”事件后但在“心脏, 才可能会有这个效应加入 OpenSSL。

能只有一些小小的心愿OpenSSL 可。

么?它是一个开源的项目“项目背后的动机是什,penSSL 应用广泛我们也很乐意看到 O,用继续扩大下去也希望它的应,所有的用户能够造福。些特性是为人所乐见的我们不确定的是哪一,特定的需求有的公司有,不告诉我们但如果它们,到这方面的信息我们没办法拿。做一些调整有时我们会,nSSL 社区是有益的最后被证明对 Ope。外此,补丁进行维护我们会不断对,布进行更新随着版本发,户受益让用。此因,来修改 OpenSSL 的话大家觉得有必要出于自己目的,听到大家的声音也许我们也能够,会适应庞大的需求即使微小调整也许。ve 说”Ste。搜狐返回,看更查多

搜狐号的作者撰写声明:本文由入驻,方账号外除搜狐官,表作者本人观点仅代,搜狐立场不代表。

国内最值得入手的新奇酷玩产致力免费为玩家、消费者提供品

老虎的这些画面首曝、、谷俊山 3个军光

840元电线分钟内被骗电信诈骗又出新变种:4光

党”这下真的要“上天”了外国人也羡慕?中国“剁手!

搞懂这些潜规则少吃信用卡年费是套路?亏

电话: 0755-83161276
传真: 0755-83160305
地址: 广东省深圳市龙岗区同乐村同庆路32号

Copyright ? 2002-2011 环亚娱乐手机版_环亚国际娱乐手机版_环亚娱乐手机版本软件有限公司 版权所有