译者注:本文为 OpenSSL 基金会主席 Steve Marquess 登载于自己的博客上的,一篇关于 OpenSSL 此前曝出的重大安全漏洞“心脏出血”Heartbleed“的评论文章。在文中, Marquess 解释了漏洞的实质和成因,向读者介绍了 OpenSSL 基金会以及 OpenSSL 开发团队人员的现状。并且,他用幽默而又苦涩的言语,向质疑、抨击 OpenSSL 基金会和开发团队成员的无知大众进行了回击,并且顺道黑了一手世界 500 强当中那些使用 OpenSSL 软件获利,却从不为 OpenSSL 社区和开发团队贡献一分一毫的财团企业。 命运选择了我,作为 OpenSSL 的“金主”(money guy),所以我也来谈谈 OpenSSL 这档子事儿吧。 了解 OpenSSL 的朋友一般也比较了解我们 OpenSSL 软件基金会(OpenSSL Software Foundation, OSF)。不了解的,你们也可以看看最近一段时间的新闻,对我们描述的非常清楚:OSF 是专门为了为 OpenSSL 拉钱而成立的法人组织。请注意我的用词:“拉钱”,意思就是,为 OpenSSL 这个项目去辛辛苦苦的拉钱,为 OSF 产生收入,不论使用任何方式(当然是合法的方式)。
OSF 一般每年能够收到大约 2000 美元的赞助,除此之外,我们为外界提供专业级的 OpenSSL 软件支持服务。官网上写了,收费可以按照时薪,也可以按照每一单的固定价格计算。
如果你不知道我们的收入怎么样,那我可以告诉你:在过去的五年里,我们起早贪黑,为全世界的人们修理他们的服务器和 OpenSSL 软件,而从来没有一年的收入超过 100 万美元。 感谢一直以来媒体对我们的照顾,在过去的一个月里,我们一直能收到来自草根朋友源源不断的资金援助,并附了他们对我们的感谢信。 当中有一条我特别喜欢的感谢信,我真的忍不住贴出来: Thank you… For doing something really fucking hard, and making it free. 这些援助,从邮箱的地址来看,来自全世界各地,大部分金额是 5 美元到 10 美元。我还没完全统计出一个详细的表格,不过粗略的算了一下,大约 9000 美元吧。我要告诉你们的是:即便这些小额援助,按照现在的速率,源源不断地向我们发来,即便我们把每一笔钱全都直接转交给 OpenSSL 团队人员,对于我们团队支持 OpenSSL 这个互联网史上最重要加密软件之一的工作,也是远远不够的。同时你们也别忘了,OpenSSL 是开源的,“用之于民”的,所以我们从最一开始就没指望过能够依赖朋友们的私人援助来一直走下去。
没错,我说的就是你们,那些财富 1000 的公司。你们将 OpenSSL 软件服务植入到你们销售的防火墙、应用、云服务、财务、安全产品中,然后赚取商业利益,或是植入到你们的基础架构、组织通讯功能中。有了我们的 OpenSSL,你们不必再养着一群专门负责加密代码的工程师。然而出了问题你们解决不了的时候,你们居然要挟我们提供免费的服务?在你们赚取了成百上千亿商业利益的时候,居然一分钱也不贡献给赋予你们最基本的机会的 OpenSSL 开源社区?没错,我说的就是你们,你们这些杂种。 跑题了。 由于缺乏主要的、相对大额的收入来源,我们只好依靠提供 OpenSSL 软件支持的合同服务,来勉强维生。如果 OpenSSL 的用户在使用中发现了故障,产生了问题,或者仅仅想要寻求专业人士的帮助,然后发现,恩,写 OpenSSL 的人应该是最专业的。没错,这时候就是我们展现专业精神的时候了,用户可以选择雇佣我们 OpenSSL 团队当中的一个或者几个,来解决问题。对于 OpenSSL 团队的绝大部分成员来说,他们并没有除此之外其他的正式工作,因此这一纸雇佣合同,成为了他们唯一的收入来源。 也就是我整篇文章想要说的问题:责任和荣誉。 如果读者大爷们可以移驾我们的官网,可以看到我们的“咨询”业务价格是 250 美元一小时。 两,百,五,十,美,元,一小时。比大部分律师、私人医生,甚至是职业技术工程师的价格要便宜多了吧? “坐着收钱爽吧?”真心话,不爽;“真 TM 贵,我才不要。”这还贵? 说真的,如果给我更多的时间,能签更多的服务合同,我绝对签。我签不了更多的原因就是我们真的没有时间。目前 OSF 大约有价值 10 万美元的合同——不是正在洽谈阶段的——是真真正正白纸黑字的合同——还没来得及执行。为什么?因为在这个创造了伟大的 OpenSSL 的团队里当中的任何一位伟大的开发者,都已经忙得没有多余的时间来加班。有客户打电话求我能不能约 Stephen Henson 博士(信息系统加密专家,OpenSSL 创始人之一,OpenSSL 核心团队成员)来看看他们的问题。有客户问我 Andy Polyakov(OpenSSL 当前版本开发团队成员之一,知名开发者)什么时候能有时间。甚至还有客户说:“我多给点钱行吗?”我真的不知道,该怎么向他们表达除了“对不起,我们目前帮不到你。”之外的想法。 所以你们也别以为我们接活跟玩儿似的。我自己在行业里,在政府里工作过很久,我知道什么叫“差不多得了”、“乱搞没事搞定就行”的工作理念,而 OpenSSL 团队和他们不一样。这个团队里的人对待每一份工作都尽职尽责,因为这是他们开发工作的结晶,是他们的荣誉,更是他们的责任。我有时候觉得他们太累,劝他们“也不多得了”,他们不听我的。 Stephe Henson 博士除了这一张张的服务合同之外,没有其他正式工作。他这个人比较内向,所以我在这里写这些事的话他应该不会开心(抱歉 Steve)。OSF 创立的想法,最一开始我是想都没想过的。 我和部分 OpenSSL 团队的成一团一同工作了几年,然后我通过他们了解了 Steve 的收入情况。当时我完全惊呆了。全美军事工业中有几千个研究机构,而我是当中一个机构里数百名研究员/顾问当中的一个,而且我的工资比久负盛名的,开发了 OpenSSL 的 Steve Henson 博士高五倍!五!倍!这就是我们的互联网行业,对待这样一位高级知识分子的方式。跟 Henson 博士比起来,我根本不会编程,我曾经幼稚地以为这样一位编程大师的薪水怎么也得算是业内一流,或者至少比我这样的顾问或者全球几百万名程序员的薪水更高。 整个 OpenSSL 团队的人收入基本都差不多,他们和 Henson 博士一样,一不为了钱,二不为了名(媒体报这次 Heartbleed 漏洞之前,又有多少人知道 OpenSSL 是什么?)。 哦,说到这里想起来了。“OpenSSL 的那些蠢蛋们是不是就这样把整个互联网的加密协议给毁了?”抱歉,如果你真的要讨论这个问题,随你的便。我要告诉你们的事所有的复杂程序(non-trivial software)都有 bug。苹果 2 月出了“goto fail”bug,别忘了哦。人家苹果是闭源、商业的,我们是开源、免费的。再者说了,OpenSSL 自从诞生以来,安全方面的记录一直非常优秀,比许多商业性质的产品的 bug 少的多得多。 还有人要问为什么这么久才发现这个漏洞?动动你们的大脑,好好想想: 1)这段代码的作者,是整个 OpenSSL、心跳扩展(Hearbeat specification RFC6520)的核心作者,也是整个 OpenSSL 团队和业内认证的 OpenSSL 开发人员。整个 OpenSSL 团队也复查了这段代码,没人发现这个漏洞; 2)这段代码也面向整个 OpenSSL 开源社区开放,没人发现这个漏洞; 3)很多人看了媒体报道,声称这个漏洞是“互联网史上最严重的漏洞”。在此之前业内有众多程序安全专家对 OpenSSL 进行了细致的梳理和检查,而他们发现的一切 bug 都已经呈现在他们的分析报告中,没人发现这个漏洞; 4)Google 才华横溢的技术人员在使用了带有 bug 的 OpenSSL 版本长达 2 年之后,发现了这个漏洞。 所以问题的关键并不在于几个过度劳累的免费劳力没有发现这个漏洞,而是为什么这样的漏洞没有多发生几次。 回到主题。 我尊重,敬仰我在 OpenSSL 基金会的同事们,尤其是 Henson 博士。他们完全是为了身为“工匠”的尊严,为了他们的信仰,以及责任。数年如一日,为了一个庞大、复杂,用于全世界几乎所有的银行、防火墙、武器系统、网站、智能手机、工业、政府的安全链接系统编写代码,这需要钢铁一般的神经才可以办得到。将这种坚不可摧的意志,与业内顶尖的专业知识组合起来的人,通常在业内早已功成名就,被政府、公司等高薪聘用,养老终生。但现实呢?Henson 博士一方面依靠在 OSF 接活赚取家用,另一方面还要为 OpenSSL 软件解决各种各样的问题,更新版本。他太累了。 不应该让 Henson 博士一个人忙前忙后(我不懂编程,真的太对不起了)。应该有一个至少五六个人的团队,专门来帮助他进行 OpenSSL 的编程工作,而不用像他一样还要在外面接单。如果哪个国家的政府,或者哪家公司,愿意专门聘用人来帮助他,请你们谨慎考虑,加入我们的队伍。谢谢,请尽快,我也老了,我也想退休。 原文:http://veridicalsystems.com/ |
