让全球23网站“心脏滴血”后，OpenSSL 经历了什…

让全球2/3网站“心脏滴血”后，OpenSSL经历了什…

如果把OpenSSL的Heartbleed漏洞称为互联网安全史上最严重的漏洞之一，反对的人不会太多。

SSL(安全套接字层)协议是应用最广泛的网站加密技术，而OpenSSL是一个开源的SSL套件，被全世界成千上万的web服务器所使用。这个严重的漏洞出现后，全球三分之二的网站都可以被攻击，这种攻击就是那种“随意开门抢信息”的攻击。

2014年4月9日 ，漏洞曝光后，OpenSSL 背后的团队被媒体争相报道，他们的故事也逐渐为人所知。2015年，锤子科技罗永浩宣布向OpenSSL 捐赠200万元。某媒体发表了一篇以OpenSSL为主角的《看不见的同志》后，OpenSSL 就“火”了起来。随之而来的是另一位知名人士对文章的反对——“谁在捍卫我们的隐私？OpenSSL的真实故事。

争论集中在以下几个方面:

1。OpenSSL真的这么英雄吗？

2。OpenSSL真的这么差吗？之前没人给他们捐款吗？

3。真正的OpenSSL是什么样子的？

9月23日，OpenSSL团队成员在访问OpenSSL创始人之一的白山云科技公司时，美国国防部前顾问史蒂夫·马奎斯(即《看不见的同志》中的史蒂夫)，OpenSSL的前身SSLeay创始人蒂姆·哈德森，OpenSSL代码贡献榜排名第18位的白山云科技架构师杨洋，接受了包括Leifeng.com(微信官方账号:雷锋网)在内的媒体采访。

杨洋(左一)、蒂姆·哈德森(左二)、史蒂夫·马尔克斯(右一)

OpenSSL的真实故事应该由他们自己来讲。

-

“心脏滴血”后 OpenSSL发生了什么

史蒂夫和他的一行人以前从未去过中国。

本周，Steve和其他四位OpenSSL核心成员还拜访了阿里巴巴、百度、腾讯、华为、锤子科技等。最后一站，他们来到了他们的好队友杨洋所在的白山云科技。

华为和锤子科技确实是国内对OpenSSL捐款最多的两家公司。史蒂夫在这次活动中首先感谢了白山云科技的两家公司。

“我们从中国获得的资金比任何其他国家都多。”史蒂夫说。

现在OpenSSL的生活好了很多。与三年前只有两名全职员工相比，他们现在有四名全职员工，其中两名也是这次来中国的。

“‘心出血’是一种痛苦的经历，但也有好处。说明了计算技术和互联网有多依赖OpenSSL，很多媒体都报道了。它的发生是因为严重的安全漏洞。OpenSSL规模如此之大，复杂程度如此之高，影响如此之大，却没有足够的人力来保证其安全性。这是个问题。”史蒂夫这样描述“心滴”泄露的原因。

虽然，到底是谁在捍卫我们的隐私？OpenSSL的真实故事，作者是这样写的:

“OpenSSL 发布‘心脏出血’漏洞的过程也很有问题。一般严重漏洞的处理过程是一开始不对外公布，马上通知主流 *** 作系统的中流砥柱和相关厂商，让大家先修改，然后一起发布安全公告和升级。之所以这样，是因为如果 *** 作系统不打补丁，很多普通用户都知道没有办法修复漏洞，反而让黑客更容易利用这些漏洞。OpenSSL 可不是这么做的。Google通知他们漏洞后，OpenSSL并没有通知任何一家 *** 作系统厂商，而是奇怪的被几大CDN 厂商知道了，也就是泄漏发生在一个未知的环节。之后，关于这个重大Bug的传闻 就在开源社区开始了。直到此时，几大 *** 作系统仍未得到官方通知。OpenSSL又过了3天才通知红帽…………”

那三天OpenSSL发生了什么？

Tim 说:“据我所知，心脏出血事件是由两个团队在互不知晓的情况下独立发现的。我只对我们的回应负责，不能对其他公司负责。当时这个漏洞是非常严重的危险级别，我们采取的措施在当时也是合理的措施。整个过程中谁做了什么，谁发现了什么漏洞，这都是公开的，可以在我们的网站上查到。”

出了这么大的事故，史蒂夫说，对于一个人力有限的团队来说，真的很难。一个看似默默无闻的团队突然火了。史蒂夫的好朋友甚至他的牙医都关切地问:“最近在电视上看到你很重要吗？”

那段时间OpenSSL压力很大，受到很多批评。他们如履薄冰，担心将来可能会重蹈覆辙，但也收到了一些令人鼓舞的反馈。让史蒂夫感到温暖的是，一些他连听都没听过的非洲国家发来了鼓励的邮件，团队之前不太关注的中国也发来了“鼓励的信息”。

“除了扩展到一个有四名全职员工的团队，一些OpenSSL成员有自己的工作，但他们的公司会鼓励他们做一些OpenSSL工作。这些公司以间接的方式为我们提供了支持。我们还得到了数百名中国人和两家中国公司锤子科技和华为的资金支持。我们从中国获得的资金支持比任何其他国家都多。”史蒂夫说。

然后就是OpenSSL的恢复。

这支队伍已经重建，并还清了系统的技术债务。这些技术债指的是一些之前没有很好重构和精简的代码，然后不断增加新的代码和功能。OpenSSL对它们进行了梳理和筛选，使内部结构尽可能不透明。他们有了新的代码库，第一次重要的审计也是在这期间完成的。

此前也有声音批评OpenSSL团队管理混乱。史蒂夫说情况已经有所改善。现在OpenSSL有14个“贡献者”和10个管理委员会成员，其中8个身兼两职。

他们现在缺钱吗

杨洋这次让OpenSSL团队成员来中国。

很难想象和一个人在网上聊了15年，却从来没有在网下见过面是什么感觉。这是OpenSSL团队中非常普遍的现象。更让人难以想象的是，整个OpenSSL团队一共线下见过三次面。

第一次会议是在2014年德国的一次会议之后举行的。这是一次美妙的经历。十几名OpenSSL团队成员走进一间会议室。虽然有些人视频聊天，但他们仍然不知道对方。

第三次见面是在中国:几个老朋友的聚会。

杨洋在两三年前认识了 OpenSSL团队。当时他还在阿里巴巴，和OpenSSL的接触是项目对接。当时他还没有兼职为OpenSSL 贡献代码。去年年底，杨洋加入了白山云科技。由于公司允许他异地远程办公，同时支持他为OpenSSL贡献代码，目前，这位在家乡沈阳工作的年轻人从上午10点到下午6点为白山云科技工作，从晚上8点到凌晨3点处理相关事务并为OpenSSL 贡献开源代码。目前，根据OpenSSL贡献代码量和代码质量排行榜，杨洋排名全球第18，国内第一。

在了解了杨洋和 OpenSSL的渊源后，这家创业才两年的白山云科技公司非常支持他的工作，把原本是杨洋和OpenSSL的私人聚会变成了OpenSSL的中国之旅。全面协助 OpenSSL团队成员与中国知名互联网公司交流。由于这个团队没有人懂中文，杨洋只好全程陪同翻译。

此前，一些国外公司支持员工为OpenSSL贡献时间和代码，但在国内，像杨洋、360CERT&Gear团队的石磊这样的兼职OpenSSL成员并不多。

事实上，在“谁在保护我们的隐私？OpenSSL的真实故事”正如本文所述，并不是没有个人和公司捐助 OpenSSL。捐赠OpenSSL有几种方式:个人或公司直接捐赠给OpenSSL的基金会，通过Linux 基金会捐赠给OpenSSL，公司或个人捐赠开源代码或员工时间给OpenSSL...

然而，情况并不像批评者所说的那样乐观。史蒂夫 告诉雷锋网。除了他自己的基金会，目前只有Linux基金会对OpenSSL 进行了捐赠。捐款金额并没有传说中的那么大，仅够支付两位新全职员工过去三年的年薪。OpenSSL 还没有得到其他基金会的关注，但是也有一些其他企业和个人的捐赠。

“我们主要做一些咨询合作，比如帮助英特尔这样的公司。在过去的五年里，我估计有1/4的收入来自商业合作。”史蒂夫说。

蒂姆说:“公司和个人都有捐赠守则，我们会进行研究和评估。如果我们认为这是可能的，我们将加入软件确认列表。还有一些形式的贡献，有些是代码，有些是文档，有些帮助我们发现错误等等。不管是什么，我们都非常欢迎。”

三年前，OpenSSL穷到只有一点收入。

史蒂夫说，OpenSSL团队有一个非常有才华但很差的程序员斯蒂芬·亨森(StephenHenson)。斯蒂芬有多穷？史蒂夫说他很穷，我知道的时候很震惊。

史蒂夫 和斯蒂芬是认识了15年的老朋友，但仍然没有见过面，因为斯蒂芬 性格独特，是一个非常害羞的人。他从来没有坐过飞机，甚至连护照都没有。但是，斯蒂芬是史蒂夫 在工作中认为最可靠的人。他从来没有在任何项目结束时迟交代码。

所以史蒂夫在知道斯蒂芬的困境后，全力帮助斯蒂芬承接一些商业项目来养活自己。

如前所述，史蒂夫 是前美国国防部的顾问，名声很好。早期，斯蒂芬只是一个默默无闻的程序员。为了能让斯蒂芬顺利获得这些项目，史蒂夫 只能以自己的名义在这些项目上签字，让斯蒂芬完成整个过程。有时候，斯蒂芬从史蒂夫那里获得一整年的收入。在两人没有任何约定的情况下，一个拿自己的名誉做担保，一个完全信任另一个帮他理财。这种默契持续了很多年。

真实的 OpenSSL

当史蒂夫读到《看不见的同志》这篇文章的翻译版本时，已经是文章发表半年后了。对于文章中呈现的“英雄主义”色彩，史蒂夫表示确实有些夸张。

有意思的是，史蒂夫当时也把文章发给了杨洋，他们一起讨论了文章中一些夸张的细节。

不可否认，这篇文章发表后，OpenSSL收到了一些很好的反馈，一些来自中国的电子邮件和捐款也随之而来。

雷锋网编辑没有问史蒂夫等人设立OpenSSL的动机。因为他在演讲中已经提到，如果你想加入OpenSSL，肯定不是因为钱。想要坚持下去，必须要有过硬的C编程功底、毅力和兴趣。

“开源不仅仅是给自己写代码，还有更多挑战。我们希望代码具有商业意义，一些公司愿意雇佣我们的员工。但如果有的人只关注利润，可能没有耐心投入正常的时间和金钱去开源。这就是为什么一些开发人员和程序员离开了我们的团队。以我为例。我可以做 OpenSSL作为兴趣。我把房子的贷款还清了，女儿毕业了，不欠银行什么钱了。我不用担心饿肚子，所以花了很多时间做OpenSSL 。甚至做了一些OpenSSL相关的咨询也赚了钱。现在很多公司都会涉及OpenSSL，所以我需要这方面的咨询。”史蒂夫说。

杨洋说，自己做这个“只是为了好玩”，就像听音乐看电影一样。

关于OpenSSL和Steve，其实有一些传言和误解。

史蒂夫说，他的工作是自由职业顾问，他所做的就是服务各行各业的客户，从一个项目到另一个项目，超过40年。此前有传言称他要接触军火交易。事实上，他本人并不经营q支和导d之类的武器。之所以有这个传言，是因为美国政府之前有一个规定，密码或加密系统被视为武器，所以和军方有合作项目的史蒂夫必须申请从事武器工作的执照。

史蒂夫加入OpenSSL时，它还是一个不知名的组织。他澄清自己没有那么强烈的英雄主义情结，这个不知名的组织一开始也没有让他觉得自己是所谓的“英雄”。但在“心滴”事件后，加入OpenSSL可能会有这种效果。

OpenSSL可能只有一些小小的愿望。

“这个项目背后的动机是什么？它是一个开源项目，我们很高兴看到OpenSSL被广泛使用。我们也希望它的应用将继续扩大并惠及所有用户。我们不确定哪些功能会受到人们的欢迎。有些公司有特定的需求，但是如果他们不告诉我们，我们就无法获得这些信息。有时候我们会做一些调整， 最终被证明是有利于OpenSSL 社区的。此外，我们将不断维护补丁，并随着版本的发布进行更新，以使用户受益。因此，如果你觉得有必要为了自己的目的修改OpenSSL ，也许我们也能听到你的声音，即使微小的调整也可能满足巨大的需求。”史蒂夫说。