设为首页|加入收藏

当前位置:首页>安全服务>安全通报

安全通报

仅有两人守护着互联网 因心血漏洞才获重视

发布时间:2014-4-30 10:04:54发布人:anquanfuwu

据国外媒体报道,OpenSSL作为一个关键的安全应用,使用于成千上万的网站。这一应用可以确保你的关键信息不被窃取。但随着“心脏出血”漏洞的发现,这一开源协议才被发现负责维护的团队人手严重不足(严格来说全职只有一人)且报酬过低。

开源项目一直以来都以松散的组织架构存在,即使大公司加入,目的也仅仅是贡献部分代码成为“贡献者”,以在未来商业使用该软件时获得授权。这就导致了开源软件的开发者报酬极低或者没有报酬,大部分开源开发者的目标也仅仅是获得声望与提高技术。

参与OpenSSL开发的两名开发者名为史蒂夫·马奎斯和斯蒂芬·汉森。OpenSSL出现漏斗是他们最不想听到的事情。2006年,经过三年的努力,OpenSSL成为美国政府安全系统的重要组成部分。但是,马上他们就收到一个坏消息:他们的代码,需要更多的改进。OpenSSL是互联网的默认加密引擎。美国政府态度坚决,它批准的东西将需要的严格的测试。马奎斯作为国防部的顾问,将他的数年时间和大量金钱放到整个项目上。美国政府的资金在项目开始六个月就已经用完。

马奎斯表示,“我们不断收到要求,以致做出了愚蠢的改进。”马奎斯,现年59岁,每周还要为政府的工作40个小时以上。他是政府和他的合作伙伴之间的联系人。他的开发伙伴就是OpenSSL代码背后维护的天才-斯蒂芬·汉森,深居简出的46岁的英国图论数学博士。

汉森曾通过电子邮件表示,因为项目进展困难,“每个人都准备离开”。这是自OpenSSL心脏出血漏洞被发现后他第一次,也是唯一一次发表意见。

马奎斯说,“史蒂夫·汉森是我的坚强后盾,我觉得我们为OpenSSL所做的是一个很好的事情。不过,你不能让程序员因为OpenSSL而挨饿。但是,开源就是这样,这是极有可能发生的事情。当我第一次见到史蒂夫·汉森,这种事情就发生在他身上。根据信息,汉森的薪水只有每年约2万美元。

OpenSSL的软件基金会的单年收入从来没有超过100万美元。它生存主要是靠大公司的聘用合同。这些合同的内容包括每小时250美元来的短期工作和低价的几十年长期合同。基金会的一小部分收入还来自捐款者和好心人。这些钱大部分用来做外包的验证测试(几十万美元一年)和新的服务器、设备投资。最近,德国的服务器升级成本就花费了8200美元。

开源软件一直被业界广泛采用,使用户获得高质量的免费版本商业软件,且没有任何附加条件。大公司都注意到了开源的好处,并热衷拥抱开源。如巴克莱银行通过开源已经把软件费用降低了90%。但免费也使开源程序员的日子并不好过。

不过值得庆幸的是,OpenSSL出现这个巨大的安全漏洞后,它得到了它应有的关注度, 这已经为项目争取了更多的资金,OpenSSL计划马上就会聘请第二名全职开发人员。

关于协会 |网站地图|联系我们

Copyright ©广州市信息网络安全协会 All Rights Reserved. 未经许可 不得转载

电话:020-83113010 传真:020-83609489 E-mail:gzcinsa@163.com 粤ICP备05115259号 Designed by Wanhu