让全球2/3网站“心脏滴血”后，OpenSSL 经历了什么？

如果把 OpenSSL 的 Heartbleed （心脏滴血）漏洞称为互联网安全历史上最严重的漏洞之一，想必不会有太多人反对。

SSL（安全套接层）协议是使用最为普遍的网站加密技术，而 OpenSSL 则是开源的 SSL 套件，为全球成千上万的 web 服务器所使用。这个严重漏洞出现后，全球三分之二的网站可被攻击，这种攻击还是“敞开了门，可以随意掠夺信息”的那种。

2014 年 4 月 9 日，该漏洞被曝光后， OpenSSL 背后的团队才被媒体争相报道，他们的故事逐渐为人所知。 2015 年，锤子科技罗永浩宣布对 OpenSSL 捐款 200 万元，某媒体发表一篇以 OpenSSL 为主角的《隐形战友》后， OpenSSL “火”了。随之而来的，是另一位知名人士对该文章的反对——《到底谁在捍卫我们的隐私？OpenSSL的真实故事》。

争论的角度集中在这几个方面：

1. OpenSSL 真的有这么英雄主义吗？

2. OpenSSL 真的有这么穷吗？之前少有人给他们捐款吗？

3.真实的 OpenSSL到底是什么样子？

9 月 23 日， OpenSSL 团队成员参观白山云科技公司时，OpenSSL创始人之一，美国国防部前顾问 Steve Marquess（也就是《隐形战友》中的史蒂夫）、OpenSSL前身SSLeay创建者，OpenSSL创始人之一 Tim Hudson 和白山云科技架构师，OpenSSL代码贡献榜排名18 的杨洋接受了包括雷锋网(公众号：雷锋网)宅客频道在内的媒体采访。

杨洋（左一）、 Tim Hudson（左二）、Steve Marquess（右一）

OpenSSL 的真实故事应该由他们自己来说。

--

“心脏滴血”后 OpenSSL 发生了什么

Steve 一行人此前从没有来过中国。

这个星期里，Steve  和 OpenSSL 其他 4 名核心成员还陆续参观了阿里巴巴、百度、腾讯、华为、锤子科技等，最后一站他们来到了好队友杨洋所在的白山云科技。

华为和锤子科技确实是中国两家对 OpenSSL 捐款最多的公司，Steve 在白山云科技的这场活动中，先对两家公司表示了感谢。

“我们收到的来自中国的资助要比其他任何一个国家都多。”Steve说。

现在 OpenSSL 日子已经过得好多了，相比三年前只有两个全职员工，他们现在有个 4 名全职员工，其中两个全职人员这次也来到了中国。

“‘心脏出血’是惨痛的经历，但是发生这件事情也有好处，这件事情显示了计算技术和互联网有多大程度依赖 OpenSSL，很多媒体进行了报道。它的发生是由于严重的安全漏洞，OpenSSL 规模那么大、复杂程度那么高、影响面那么大，却没有足够的人力保障它的安全，这是个问题。”Steve 这样表述了“心脏滴血”漏洞发生的原因。

虽然，在《到底谁在捍卫我们的隐私？OpenSSL 的真实故事》中，作者这样写道：

“OpenSSL 公布‘心脏出血’漏洞的过程也非常有问题。一般出现严重漏洞的流程，是先不对公众公布，立即通知主流操作系统维护者和相关厂商，让大家先修改，之后一起发布安全公告和升级。之所以这样做，是因为如果操作系统不去打补丁，很多普通用户知道漏洞也没办法修补，反而让黑客们更容易利用这些漏洞。OpenSSL 不是这么做的，在 Google 告知了他们漏洞之后，OpenSSL 没有告知任何一家操作系统厂商，反而奇怪的被几家主要 CDN 厂商知道了，也就是说，在不知道哪个环节发生了泄密。之后开源社区中开始有关于这个重大 Bug 的传言，直到这个时候，几大操作系统仍然没得到正式通知。又过了 3 天，OpenSSL 才告知了Red Hat……”

在那三天里，OpenSSL 到底发生了什么？

Tim 称：“据我所知，心脏滴血事件是由两个团队互不知情的情况下独立发现的。我只对我们所作出的反应负责，对其他公司没办法负责。当时这个漏洞是非常严重的危险级别，我们所采取的措施也是当时认为合理的措施。整个过程中谁做了什么、谁发现了什么漏洞，这都是公开的，可以在我们的网站上查得到。”

出了这么大的事情，Steve说，对于一个人手有限的团队来讲日子确实不好过。一个看上去本来籍籍无名的团队瞬间火了，Steve 的好朋友，甚至连他的牙医都关心地询问：“最近老在电视上看到你，要不要紧？”

那一段时间，OpenSSL 倍感压力，收到了很多批评的声音，他们如履薄冰，担心未来可能重蹈覆辙，但也收到了一些鼓励的反馈。让 Steve 觉得温暖的是，一些他甚至都没听过名字的非洲国家都发来了鼓励的邮件，以前团队不太关注的中国也发来了“令人鼓舞的信息”。

“除了扩展到有 4 个全职员工的团队，一些 OpenSSL 的成员尽管有自己本职工作，但是他们的公司会鼓励他们做一些 OpenSSL 的工作，这些公司以间接的方式给我们提供了支持。我们还收到数百个中国人以及锤子科技、华为这两个中国企业给我们的资助，我们收到中国的资助要比其他任何一个国家都多。” Steve 说。

此后则是 OpenSSL 的复苏。

这个团队经历了重建，从系统上还了之前欠下的技术债。这些技术债是指一些之前没有进行很好的重构与精减的代码，后来又不断加入新代码和功能，OpenSSL 做了梳理和筛减，尽可能让内部结构变得不透明，他们有了新代码库，第一次重要审计也是在这个期间完成。

此前，还有诟病 OpenSSL 团队管理混乱的声音， Steve称，情况得到了改善，现在OpenSSL 有 14 位 “贡献者”和 10 位管委会成员，其中有 8 名是身兼两职。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!