ifanr：到底谁才是真正的隐形战友——开源软件和 OpenSSL 的真实故事(zz) - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Programming - 葵花宝典

ifanr：到底谁才是真正的隐形战友——开源软件和 OpenSSL 的真实故事(zz)

ifanr：到底谁才是真正的隐形战友——开源软件和 OpenSSL 的真实故事(zz)# Programming - 葵花宝典

d*g2015-02-06 08:02

1 楼

【以下文字转载自 Visa 讨论区】
发信人: dancerflying (雨朦朦), 信区: Visa
标题: 电话卡可以从淘宝买
发信站: BBS 未名空间站 (Tue Mar 15 00:41:14 2011, 美东)
本来很着急，下午买电话卡的系统down了。本来想麻烦朋友去中信银行跑一趟，朋友提
醒网上有没有卖的，果然淘宝一堆。
大家不用着急了，想买卡，随时都可以了。

x*k2015-02-06 08:02

2 楼

编者按：本文作者为霍炬，科技 blogger，连续创业者，技术爱好者，有一个公众帐号
“歪理邪说”（ID：wxieshuo）。
前几天，在朋友圈看到转来的原发于 “ 界面 “ 关于 OpenSSL 和开源项目的 “ 隐
形战友 ” 一文。开始觉得不过是炒冷饭，“心脏出血” 这个 OpenSSL 严重漏洞，从
去年（2014）4 月初被公众知道，到现在已有将近一年了，这件事已经算告一段落。
尽管这篇文章充满了误解、硬伤和企业宣传，我也没太在意。结果，今天看到界面的网
站上竟然还在用支付宝给 OpenSSL 募捐，这就荒唐了。之前有一些朋友说，无论怎么
样，多一些关注总是好的，从现在的结果看，界面的文章造成的坏影响更大，这篇文章
扭曲了开源社区的本来状况，对其他组织和企业也不公平。开源软件、安全、隐私确实
是大部分普通用户不了解的领域，但记者要写一篇文章，总应该对历史有个基本了解。
界面网络的创始人何力先生，曾经创建了经济观察报和第一财经，都是不错的媒体，再
次创业界面，也备受关注。可惜界面这篇文章，给我带来的失望比较大。更好笑的是，
当年罗永浩对战王自如的时候，罗粉说王自如的公司是雷军投资的，所以王自如一定是
倾向小米的。而今天，界面，这个小米参与投资的媒体，登了一篇锤子的软文。这两者
之间对比，实在让人哭笑不得。
我想聊聊开源软件的模式和 OpenSSL 存在的问题，以及到底谁在捍卫我们的隐私，这
些都是界面的文章弄错的地方。我也会写到在 “ 心脏出血 “ 这个漏洞从发现到公布
的过程中，惊心动魄和争分夺秒的故事，这个过程暴露出 OpenSSL 严重的管理问题，
先从开源说起。
开源是一种商业模式
界面一文，把 OpenSSL 描述成没有捐款就没法生存的组织，但开源组织并不是这样，
开源和免费一样，是一种商业模式，他们之间有诸多不同，但有一个基本的相同点，就
是都希望尽量多的人免费使用它。大家已经免费使用了很多互联网服务，对于免费模式
应该非常理解，我们从未给 Google 付款，从未为我们每一次搜索买单。但我们搜索的
行为，我们的注意力、数据，都会变成 Google 的广告收入。我们每一次使用 Google
搜索，都是在帮助 Google 赚钱，尽管没直接付钱给他们。
开源软件也是如此。开源软件的世界是激烈竞争的，任何一个组织，都可以从当前代码
分支一份继续开发新的版本，这个行为叫做 Fork。一个开源组织要想生存下去，最重
要的基础就是普遍被使用，不然很快就会被竞争者替代。一个软件被普遍被使用之后，
就会因此衍生出相关服务，团队可以通过这些服务获得比较好的收入，商业模式就成型
了。最著名的例子应该算是 Red Hat Linux，中文叫做红帽，他们免费提供 Linux 发
行版，企业可以通过付费订阅获得技术支持，他们收入相当不错，现在已经是一家市值
100 多亿美金的上市公司。
OpenSSL 采用的也是同样的开源和服务收费的方式运转，OpenSSL 基金会的负责人
Steve 说他们最多一年有将近 100 万美金的商业咨询项目（资金来源是美国国防部和
美国国土安全部），这已经是相当不错的状况。开源软件的全职工作人员都不会太多，
大部分项目的核心贡献者同时也都会承担商业性项目，这是很正常的情况。在开源社区
中，像 Linux 创始人 Linus 这样全职为开源项目工作的程序员，反而不是普遍现象，
Linus 得以这么做，一方面是 Linux 基金会财力丰厚，另外一方面也是因为 Linux 衍
生项目太多，影响力也太大，Linus 本身又是精神领袖，他不得不全职为 Linux 工作
。同时从事商业服务和开源项目，并不是界面那篇文章描述的那么悲情。
再来个例子，最好的开源 UNIX 操作系统 FreeBSD，其核心开发者 Poul-Henning Kamp
（社区内叫他 phk）到今天仍然承担商业性项目。即使从 1994 年到现在，他的一直在
FreeBSD 代码贡献的排行榜上排第一，也仍然不是 FreeBSD 基金会的全职员工，他对
自己的描述是 “自雇”。phk 在自己主页上公开了最近正在做的一个商业项目，报酬
每月 3000 美金。以 OpenSSL 的项目规模，有一个全职开发者已经是相当不错的状况
了。
为什么有这么多人会放弃传统的卖软件的方式，转向免费软件和开源软件？除了个人兴
趣和理想之外，开源软件是一个成熟可靠的商业模式，这个商业模式有自己的收入方式
和生态。界面这篇文章极力制造普通互联网用户对于 OpenSSL 的愧疚感，指责普通用
户从来没付钱给他们，这种一种道德绑架。任何一个用户，只要在使用 OpenSSL，就是
在帮助这个组织获得市场份额，在竞争中获得更大优势，无论有没有直接捐款给他们，
用户都已经做出了贡献。
为什么 OpenSSL 之前只能收到很少捐款？——基金会、捐赠和募资
虽然开源组织可以通过商业服务来让自己生存的不错，但是一般也都很愿意接受捐款。
有足够的捐款，可以少做一些商业项目，把精力往开源软件方面倾斜一些，这当然是好
事。大部分软件和 IT 企业，每年都有不小的一笔钱用来支持开源项目们，同时也争取
自己在开源社区的影响力和发言权，开源组织们每年接受的捐款按照各自项目状况，都
不算少。但为什么一年前，OpenSSL 这个项目每年只能收到几千美金的捐款呢？答案很
简单，因为他们从来没有搞过募捐活动。
开源组织通常会设立一个注册为非盈利机构的基金会，通过这个基金会募集资金、组织
活动、推广自己的开源产品，视项目情况给专职或者兼职开发者付报酬，其中募集资金
是基金会相当重要的工作。如果经常使用维基百科的用户，应该会有印象。维基百科每
年都有一个固定时段，会在网站上放置非常明显的筹资通告，设定好本年度预算目标，
让大家捐款。达到数额之后，捐款就停止，不再接受更多。几乎所有开源组织，都会通
过这种方式募集捐赠。
OpenSSL 基金会从来没公开募集过资金，如果没有捐款目标，没公开募捐，就很难有成
批的捐款进入，毕竟，需要资金的项目实在太多了。对于 OpenSSL 这种项目，募资相
当容易，他们只需公开发一份筹款通知，各大企业的钱就可以立刻到手。当 “ 心脏出
血 “ 发生之后，诸多企业惊讶的不是只有一个全职开发者这件事，而是，为什么你们
一直没筹款。OpenSSL 从来没公布过自己的财务状况，没有设置过募款目标，这让人们
如何去捐款给他？
更有意思的是，OpenSSL 基金会并没有注册为非盈利机构，而是一个盈利性企业。捐助
OpenSSL 的人和企业无法从美国政府获得减税。按照他们自己的说法，是他们没有时
间维护一个非盈利组织，这不是个好理由。对于一个开源项目，注册一个非盈利组织比
注册公司难不了多少，再说，基金会之所以成立，不就是为了去做这些事吗？盈利性企
业已经定义了他们是希望靠商业活动获得收入，而不是靠捐款生存。捐款给盈利性企业
，钱的利用率就会变低很多，按照美国税法粗算，最多的情况下要多交出 30%~40% 的
税，是巨大的浪费。这也解释了为什么美国企业很少捐款给 OpenSSL 基金会。
不过，就算如此，事情也是在快速好转的。“ 心脏出血 “ 事件之后，Linux 基金会
在极短的时间内就成立了核心基础架构联盟（CII, Core Infrastructure Initiative
），这个联盟和以往最大的区别是，他们主动挑选缺乏资金的重要开源项目进行资助，
无论对方是否募款，OpenSSL 是他们资助的第一个项目。这个联盟集结了世界各国的科
技企业共同出资，其中包括了 Google、Amazon、Facebook、思科、富士、惠普、IBM…
目前已经有了 10 多家企业。其中中国企业只有一家，是华为。特别值得一提的是，除
了给 CII 出资，华为也单独资助了 OpenSSL 基金会每年 5 万美金。可惜，界面的文
章似乎把华为忘了。参加 CII 联盟的企业每年出至少 10 万美金，按照 2014 年的数
字，CII 每年总共有 170 万美金基金可以使用，第一期资金主要用来资助 OpenSSL 和
OpenSSH，资金相当富裕。
上面这些事情都发生在去年 5 月，也就是 “ 心脏出血 “ 事件之后的一个多月时间
里。无论是各大科技企业，还是 Linux 基金会，他们的行动都非常迅速，这是开源世
界的做事方式和效率。到去年 5 月，OpenSSL 的资金问题就算解决了。从这个结果看
，之前 OpenSSL 没有得到足够捐款的直接原因就是其基金会失职。
做为对比，再看看去年 OpenBSD 募款的经历。OpenBSD 是最关注安全的开源 Unix 操
作系统，他们同时也是 OpenSSH 的维护者（看到 SS 是不是觉得和加密也有关系？没
错，这也是一种加密工具，只不过不是给客户用的，是给服务器管理者和程序员用的）
，去年的募款目标仅仅是 15 万加币。相比起来，170 万美金实在已经是太多了，如果
CII 给的钱不够让 OpenSSL 变好，恐怕再多的钱也不会好了。
除了直接捐钱，各大企业支持开源项目的方式还有很多，比如捐献自己员工的时间。任
何一个开源项目中，都有来自各大公司工程师的贡献，这些公司给自己员工发薪水，他
们写的代码会回馈给开源项目，比起捐款，这是更直接的支持。比如去年发现 “心脏
出血” 漏洞的工程师，是 Google 员工，他在上班时间全职对 OpenSSL 代码做安全审
计，找到了这个 Bug。他确实不是 OpenSSL 基金会的直接雇员，但这份由 Google 买
单的全职劳动成果是贡献给了 OpenSSL 项目的，说所有大公司都没支持过这个项目，
未免太不公平。而这种错误言论，正是界面文章宣传的论调，按照这篇文章的说法，一
个中国小公司救了全世界互联网用户，这是何等荒唐。
说到这里，再说说捐款问题。我非常反对界面渲染的这种捐款情绪，这是利用人们的愧
疚捐款。钱是非常宝贵的资源，需要用钱的地方太多了，正确的捐款是在捐款者对项目
的充分了解后，基于对其价值观和方向认同，按照自己的愿望进行长期而小额的固定捐
助。在这个过程中，税务问题也是必须要考虑的，这直接决定了资金利用率，比如美国
税务居民，捐赠给 OpenSSL，资金的利用率就很低，而捐款给 CII 再由他们资助
OpenSSL，就可以得到一部分免税，利用率高了很多，如果是加拿大税务居民，想对操
作系统方面的项目捐款，应该首选 OpenBSD，因为它是加拿大注册的非盈利组织。捐款
是一个非常理性的行为，隐藏部分信息，利用人们对开源项目的不了解，煽情，制造愧
疚感，这是不可持续的，也是不公平的，这些都是界面的文章和之后的运营所做的事情。
OpenSSL 的问题和未来
界面的文章中说基层程序员批评他们的代码 “令人作呕”，实际上，说这句话的人是
Theo de Raadt，是 OpenBSD 项目的创始人，他可不是 “基层程序员”，而是操作系
统领域最好的计算机科学家之一。OpenBSD 开发者们并没止步于批评，而是立刻决定从
当前 OpenSSL 版本创建一个叫做 LibreSSL 的独立项目，从清理 OpenSSL 的代码重新
开始。他们在第一周就删除了 9 万多行代码，OpenSSL 整个项目只有 38 万行，相当
于删减了近 1/4 的代码。可见 Theo 的批评并不是顺口胡说。几年来，OpenSSL 出过
各种漏洞，在 “心脏出血 “ 之后，仍然有隐藏了 10 年以上的漏洞被发现，很多熟
悉这个项目的人看法都是 “ 除了重写别无办法”。
OpenBSD 有一份文档说明了他们在清理过程中遇到的问题，去掉其中的技术细节，我把
主要观点列在这里，这些也基本是业内主流看法：
– OpenSSL 的代码混乱不堪，难以阅读。开源软件一般通过让更多人看到代码来发现
bug，如果代码难以阅读，这个办法就失效了。
– 他们使用了大量自己的代码封装和编程风格，这些代码有的有 bug，有的不符合现
代主流做法。这让常见的检测工具没法应用于他们的项目，更难以发现 Bug。
– 他们的开发者更关心增加功能，而不是维护和修补。
– 其他开发者提供的修改和贡献，一般不会被合并到最终代码里。
– 很多用户指出的 Bug，包括一些相当严重的，公开放在追踪系统里面长达几年，没
被修补。
– 其中存留了大量无用的旧代码，比如给 windows 2000 之前的 16 位系统写的兼容
代码，仍然包含在最新版本的 OpenSSL 中。
基于以上原因，OpenBSD 认为这个项目已经没法维护了，必须要重新开始。这就是他们
创建一个分支，从清理代码这种基础工作开始的原因。可见，这个项目根本不是钱的问
题，而是管理方式和社区文化有问题。比起来其他项目，他们在有一个全职开发者和一
个全职基金会主席的情况下还能响应如此缓慢，实在更令人沮丧。顺便说一句，做清理
代码这件事的 OpenBSD 开发者，也不是全职工作，他还在这份文档前面特别注明了 “
可以被雇佣”。一年之后的今天，LibreSSL 已经基本算可用了，除了清理和改变了原
有代码风格，他们也增加了一些更先进的特性，看起来很有前途。另外，这个项目也很
需要捐款，如果更认同他们的做法，可以捐款给他们。
除此之外，OpenSSL 公布 “ 心脏出血 “ 漏洞的过程也非常有问题。一般出现严重漏
洞的流程，是先不对公众公布，立即通知主流操作系统维护者和相关厂商，让大家先修
改，之后一起发布安全公告和升级。之所以这样做，是因为如果操作系统不去打补丁，
很多普通用户知道漏洞也没办法修补，反而让黑客们更容易利用这些漏洞。OpenSSL 不
是这么做的，在 Google 告知了他们漏洞之后，OpenSSL 没有告知任何一家操作系统厂
商，反而奇怪的被几家主要 CDN 厂商知道了，也就是说，在不知道哪个环节发生了泄
密。之后开源社区中开始有关于这个重大 Bug 的传言，直到这个时候，几大操作系统
仍然没得到正式通知。又过了 3 天，OpenSSL 才告知了 Red Hat，当天，参与处理这
件事的一位 Red Hat 员工在一个私密邮件组里面把这个消息分享给了 SuSE/Debian/
FreeBSD 等几个重要操作系统相关负责人。
多亏了他，因为此时 OpenSSL 仍然表示没有任何细节提供，这是加州湾区的太平洋时
间 4 月 6 日晚上，从 Red Hat 得到具体细节的几大操作系统，连夜开始忙着打补丁
，到这个时候，Red Hat 提供的消息是 OpenSSL 将在 9 号，也就是 3 天之后公开这
个漏洞。可惜，转天，4 月 7 日一大早，OpenSSL 就直接发布了公告，媒体们知道了
，全世界都知道了。如果没有 Red Hat 提前放的消息，最后的影响恐怕还会大的多，
就算如此，因为时差的原因（Red Hat 那位员工在印度），很多在他夜里睡觉之后的邮
件没来得及回复，仍然有很多厂商没能提前得知细节。关键厂商对于如此重大的漏洞比
媒体知道消息还晚，近年来恐怕这是第一次。这造成了不少损失，比如加拿大国税局
CRA 在漏洞被公开之后发现数据被盗，此时已经来不及打补丁了，所以干脆直接把电子
报税系统关掉了，当时是 4 月 9 号，加拿大 2014 年的报税截至日期是 4 月 30 日
，正是电子报税系统最繁忙的日子，其间的尴尬可想而知。整个过程的时间线，在
theage 的一篇文章有完整记载，我列在最后，供参考。
针对这个反常的流程，社区中有不少阴谋论的看法，我不转述这些看法，我只是想说，
这是另外一个证据证明 OpenSSL 有严重的管理问题，而不是钱的问题，人们说他们把
事情做的一团混乱绝对不是没理由的指责。
另外，OpenSSL 并不是凭空出现的项目，而是继承了另一个项目 SSLeay 的代码。在
SSLeay 的开发者去 RSA 公司工作，不能继续这个开源项目之后，有好几个项目继承了
它的代码继续开发，OpenSSL 只是其中比较成功的一个。维基百科上列出了 SSL 库的
实现，包括 OpenSSL，现在还在使用的也有 10 多个，其中开源的占了将近一半。
这也是我不赞成吹捧 OpenSSL 的原因，历史的选择往往存在偶然，具体到 SSL 软件上
，就更复杂，这是混合了技术，商业，历史，政治复杂因素之后的偶然结果。现在
OpenSSL 暂时有最多的用户，以后则未必会如此，我相信，早晚会有一个新的替代者出
现。
谁是真正的人类隐私捍卫者？——电子前线基金会的故事
界面这篇文章认为 OpenSSL 是人类隐私的捍卫者，事实上，OpenSSL 只是同类加密软
件中的一个，他们当不起隐私捍卫者这个头衔。今天，我们可以不知不觉获得加密软件
的保护，背后有一些曲折的故事，那是真正的隐私捍卫者的故事。
曾经，加密技术是被美国政府禁止出口的，就像很多武器禁止出口一样，其他国家的人
，想要使用这些加密算法，就像要从美国买导弹一样，是不可能的。转机发生在 1995
年，这一年，加州伯克利大学的研究生 Bernstein 在一个叫做电子前线基金会的律师
帮助下，起诉美国政府。他的主张是自由发表加密算法，属于言论自由的一部分，从而
受美国宪法第一修正案保护，史称 Bernstein v. United States。这个案子进行了 4
年，到 1999 年，美国联邦第九巡回上诉法院出了判决，依据第一修正案，判决美国政
府禁止公开密码算法违宪。在这之后，各种密码协议和开源算法才从美国流传出来，被
自由使用。
电子前线基金会 EFF（Electronic Frontier Foundation），创建于 1990 年，是一个
法律援助组织，他们的使命是捍卫隐私，自由表达和公民权利。这也是一个基金会，而
且是一个完全靠捐款运作的非盈利组织。EFF 创始人之一是 Lotus 公司创始人卡普尔
，曾经是和比尔盖茨齐名的软件天才。80 年代，Lotus 是最大的独立软件公司，几年
之后微软才超过它。卡普尔是一个极具前瞻精神的奇才，1990 年，卡普尔意识到未来
技术、隐私、法律和政治的冲突，自己出资创建了 EFF，后来的资助者中还有著名的苹
果联合创始人沃兹。当时，商业互联网尚未成型，可见他们前瞻性之强。关于 EFF 的
传奇故事可以写很多篇文章，这里我们先说和 OpenSSL 有关的部分。
曾经浏览器的领导者 Netscape，于 1995 年开发了第一个 SSL 协议。SSLeay 也在
1995 年完成了第一个实现，1998 年 SSLeay 中止开发，由社区接手。直到 1999 年美
国政府败诉，加密技术终于可以自由流通。这才是人类隐私保护工程的历史脉络。在这
个复杂的故事里面，OpenSSL 是受益者之一，也是整个故事中的一小段，界面的文章把
OpenSSL 开发者捧为人类隐私的捍卫者，不仅过誉，而且显得非常无知。
EFF 及其创始人卡普尔，是真正的理想主义者，他们没有商业收入，自己掏钱，做这一
件事做了 25 年之久，通过一个又一个的诉讼案和对隐私相关案件的法律援助，他们成
功推动了社会进步。这才是互联网时代真正的隐私的捍卫者。
媒体的责任
有朋友说，写写文章，让大家捐点钱，怎么也不会有害，不应该被批评。我不这么认为
。媒体传播是可以影响人群选择的。这在开源领域有先例，比如，BSD 是最正宗的
UNIX 继承者，但曾经的一场诉讼，让 BSD 应用广泛程度至今不及 Linux，媒体在这个
过程中起了相当重要的作用。直到今天，谈起开源软件，媒体都更关注 Linux，质量更
可靠的 BSD 缺少关注，从而影响了人们的选择。界面文章中说 “ 如果一个开源项目
在商业世界获得了成功，那决不会是出于侥幸，决不会是因为其它竞争者恰好被规章制
度所累、被知识产权法约束 “，BSD 的历史正好是一个反例。（“ 决不会 “ 此处错
字为界面原文引用）
所以，界面这篇文章的影响是很负面的。我在前面指出了不少他们在整体认知上的错误
，其他的小错和不合理之处更是多的说不完。比如，界面的文章说 “有了锤子科技的
那笔捐款”OpenSSL 的开发者在德国 Linux 会议期间才终于有机会见了一次面。文章
中有一张 OpenSSL 开发者的合影和人名，就算这些人你之前完全不知道，现在立刻
Google 一下就知道，这些人里面有 Debian 开发者，也有 Google 全职员工，这些人
都不是 OpenSSL 付薪的，就凭这张照片，说大企业一分钱没出过也实在说不过去。再
说 OpenSSL 开发者大部分在英国和欧洲，从伦敦飞德国法兰克福，往返机票也就 300
美元，硬要说这些有工作，有正常收入的工程师连 300 美金机票都要等这笔捐款，未
免太过夸张。
我想问问界面编辑部，你们认为这篇文章到底是不是软文。如果作者是在写付费软文，
那么是职业道德问题，如果没收费，而是作者出于对罗永浩的崇拜写了一篇软文，那么
是公器私用，也是职业道德问题，如果作者没收费又不是公器私用，仍然写出了一篇如
此软，错误如此多的文章，那不仅仅是职业道德问题，还是能力问题。界面网络的编审
流程看起来也不那么靠谱，让这么一篇文章发表出来，还四处推广，恐怕编审团队没做
什么背景调查，甚至都没去搜索点相关文章读读。另外，整篇文章连一个观点相反的平
衡意见都没有，完全是单方面的观点阐述，这也违背了平衡报道准则。一篇好的报道，
应该兼顾各方意见，给读者展示各种观点，提供多方面信息，界面没能做到这一点。
互联网的安全，不取决于一个特定的软件，即使这个软件是用来加密的。发现 “ 心脏
出血 “ 漏洞的 Google 员工 Mehta 说过，libjpeg 如果出问题，可能会有极大影响
。libjpeg 用来生成和显示大部分网站和软件的图片，被普通人用到的范围比 OpenSSL
更广，威胁也会更严重。当人们被媒体把关注转向 OpenSSL 上时，大量更重要的问题
就会缺少关注。希望能有更多人关注更多的基础项目，而不是和汶川地震一样，盯着看
各大企业谁给 OpenSSL 捐款更多。一年了，炒作也应该结束了。
界面的这篇文章对华为、诺基亚，Google 这样出钱出力，没自我炒作的厂商不公平，
对于其他开源组织也不公平。界面是一家有正规编审流程的机构，严谨程度还不如我这
种完全靠个人爱好写作的非专业人员，虽然不严谨，但他们的煽情技巧确实是出色而专
业的，这篇文章被很多人称为精彩，这令人失望，也非常遗憾。

k*u2015-02-06 08:02

3 楼

Thanks a lot!

f*n2015-02-06 08:02

4 楼

写得不错

k*u2015-02-06 08:02

5 楼

不收美国信用卡.

【在 k******u 的大作中提到】

: Thanks a lot!

p*h2015-02-06 08:02

6 楼

顶

【在 x****k 的大作中提到】

: 编者按：本文作者为霍炬，科技 blogger，连续创业者，技术爱好者，有一个公众帐号
: “歪理邪说”（ID：wxieshuo）。
: 前几天，在朋友圈看到转来的原发于 “ 界面 “ 关于 OpenSSL 和开源项目的 “ 隐
: 形战友 ” 一文。开始觉得不过是炒冷饭，“心脏出血” 这个 OpenSSL 严重漏洞，从
: 去年（2014）4 月初被公众知道，到现在已有将近一年了，这件事已经算告一段落。
: 尽管这篇文章充满了误解、硬伤和企业宣传，我也没太在意。结果，今天看到界面的网
: 站上竟然还在用支付宝给 OpenSSL 募捐，这就荒唐了。之前有一些朋友说，无论怎么
: 样，多一些关注总是好的，从现在的结果看，界面的文章造成的坏影响更大，这篇文章
: 扭曲了开源社区的本来状况，对其他组织和企业也不公平。开源软件、安全、隐私确实
: 是大部分普通用户不了解的领域，但记者要写一篇文章，总应该对历史有个基本了解。

f*t2015-02-06 08:02

7 楼

我觉得挺有道理的，懂行的人来评价下？

g*t2015-02-06 08:02

8 楼

开源+隐私+安全还有另外一拨人。人家未必要赚钱。例如中本聪以前那个新闻组里面
很多人。
把什么都解释称business logic,这是智力不够的人的一个快捷键。
我总觉得在中国这个网站自行审查，规格节节提高的社会里，
端着架势谈论这个话题，有点过于幽默了。话说git,stackoverflow都被办了。这些所
谓的公众号，一字不提。

【在 x****k 的大作中提到】

S*A2015-02-06 08:02

9 楼

这个原文的评论主要是特别不满意别人捐钱给锤子的软文
和别人给 OpenSSL 捐钱，好像开源的关键是这个如何收集
捐钱。这个是比较偏颇的。给 OpenSSL 捐钱又怎么了。
又不是考这个发财。就算给他所说的其他项目捐钱，也不是
能保证出个什么结果的东西。
在我看来，如何运行好一个项目，如何让更多的人用。
这个才是开源的核心运作。有些项目受人的水平限制，
也是没有办法。想给贡献也很简单，有力出力，至于
有钱出钱还不是首位的。把钱放很重要位置的开源项目
多数不容易跑好，钱不是一直有的，有很多时候是兴趣
和其他因素推动的。

l*s2015-02-06 08:02

10 楼

据说openssl的bug都是nsa种的。

【在 S*A 的大作中提到】

: 这个原文的评论主要是特别不满意别人捐钱给锤子的软文
: 和别人给 OpenSSL 捐钱，好像开源的关键是这个如何收集
: 捐钱。这个是比较偏颇的。给 OpenSSL 捐钱又怎么了。
: 又不是考这个发财。就算给他所说的其他项目捐钱，也不是
: 能保证出个什么结果的东西。
: 在我看来，如何运行好一个项目，如何让更多的人用。
: 这个才是开源的核心运作。有些项目受人的水平限制，
: 也是没有办法。想给贡献也很简单，有力出力，至于
: 有钱出钱还不是首位的。把钱放很重要位置的开源项目
: 多数不容易跑好，钱不是一直有的，有很多时候是兴趣

S*A2015-02-06 08:02

11 楼

这个是所谓的阴谋论吧？其实看看 commit history，
跑个 annotation 或者 git blame 就知道了。
nsa 不能控制每个程序员commit 不同 bug 吧。
不然人人都是无间道怎么玩啊。
如果老是一个人植入 bug 也很明显。反正历史记录
都在那里，要追究谁干的也不难。

【在 l*********s 的大作中提到】

: 据说openssl的bug都是nsa种的。

h*c2015-02-06 08:02

12 楼

Borrow some ideas from you, the question to ask is :
When the team uses a third party package, are the following done:
- code review (this package)
- full regression of the test cases (of this package)
- the least discussion of a fall-back plan B

【在 S*A 的大作中提到】

: 这个是所谓的阴谋论吧？其实看看 commit history，
: 跑个 annotation 或者 git blame 就知道了。
: nsa 不能控制每个程序员commit 不同 bug 吧。
: 不然人人都是无间道怎么玩啊。
: 如果老是一个人植入 bug 也很明显。反正历史记录
: 都在那里，要追究谁干的也不难。

h*c2015-02-06 08:02

13 楼

另外，
我老以前就提出过,openssl不过是一堆加密协议的堆砌。Openssl不是ips/ids，（
intrusion detection/prevention system).
openssl 不是it security consultant.就象google 不是社安局一样(social security
). 你能获得信息、帮助，但不是你的救命稻草。
敏感信息加密还要audit，
写个电脑游戏openssl有点overshoot
D０d 用就是笑话了

【在 x****k 的大作中提到】

p*g2015-02-06 08:02

14 楼

原文很脑残，就跟吃饱了饭骂字幕组是一个道理。
整个一副老子给钱就是大爷的口气。说真的，做开源纯粹是兴趣，指望捐款会饿死。
300美金的机票很贵了，你指望冏国淫借你个十块淫冥币都借不到。我不知道冏国淫有
什么脸对openssl指手画脚的。

w*g2015-02-06 08:02

15 楼

界面上那篇文章一看就是文科生写的报告文学，不去扣技术细节和商业目的的话看着还
挺不错。楼主那篇写得也不错。
"他话多却有点耳背，平时爱好喝酒打猎，余下的时间都用来守护那个有史以来应用最
广泛的开源密码库项目——OpenSSL。如果OpenSSL代码存在漏洞，全球三分之二的网站
服务器将会受到影响。"
很有武侠小说的味道。话说OpenSSL影响力这么大的project，还是for profit的，收入
肯定不少。一般钱少的编程序会比较认真，钱多了反而就随便应付一下了。

【在 x****k 的大作中提到】