OpenSSL在互聯(lián)網(wǎng)安全方面的重要性似乎一直難以與它的支持資金相匹配。作為互聯(lián)網(wǎng)里應(yīng)用最廣泛的開(kāi)源加密軟件庫(kù), OpenSSL保護(hù)著數(shù)十萬(wàn)網(wǎng)站, 保護(hù)著那些銷售數(shù)十億美金的大公司,然而, 這個(gè)開(kāi)源項(xiàng)目的資金情況缺失一直捉襟見(jiàn)肘。 據(jù)OpenSSL軟件基金的主席SteveMarquess在博客中介紹, OpenSSL通常每年收到的捐款約為2000美元。 僅僅只能雇傭只有一名全職員工從事編程工作。
所以, 當(dāng)OpenSSL出現(xiàn)“心臟流血“漏洞時(shí), 我們也并不能過(guò)分責(zé)怪這個(gè)開(kāi)源項(xiàng)目的維護(hù)者們。 OpenSSL作為開(kāi)源項(xiàng)目運(yùn)行的窘境與其他一些從大公司接受到大筆捐款的的開(kāi)源項(xiàng)目形成了鮮明的對(duì)比。 比如說(shuō)Linux內(nèi)核項(xiàng)目, 就擁有一個(gè)基金會(huì), 有數(shù)名全職雇員。 基金會(huì)從HP, IBM, RedHat,Intel, Oracle,Google, Cisco以及其他很多很多公司接受捐款。 這些公司的員工同時(shí)也向Linux內(nèi)核提供代碼。
OpenSSL項(xiàng)目的窘境也引發(fā)了開(kāi)源社區(qū)的關(guān)注。 上周Linux基金會(huì)宣布了一個(gè)3年期的“核心基礎(chǔ)設(shè)施計(jì)劃”(CII), 打算至少提供390萬(wàn)美元用來(lái)資助那些經(jīng)費(fèi)不足的開(kāi)源項(xiàng)目。 OpenSSL項(xiàng)目成為第一個(gè)資助的對(duì)象。根據(jù)Linux基金會(huì)的執(zhí)行總監(jiān)Jim Zemlin透露, 亞馬遜, Cisco, Dell, Facebook,富士通, Google, IBM, Intel,微軟, NetApp, Qualcomm, Rackspace以及VMWare公司都已經(jīng)明確表示在今后三年至少每年贊助10萬(wàn)美元用于這個(gè)“核心基礎(chǔ)設(shè)施計(jì)劃”。
當(dāng)然, 這筆錢(qián)會(huì)用到幾個(gè)不同的開(kāi)源項(xiàng)目, OpenSSL會(huì)得到其中的一部分。除OpenSSL之外,這個(gè)計(jì)劃還會(huì)挑選其他的一些重要的開(kāi)源項(xiàng)目來(lái)進(jìn)行資助。
“老實(shí)說(shuō), 我們?nèi)昵熬蛻?yīng)該開(kāi)始這樣的計(jì)劃。”Jim Zemlin說(shuō)。
因?yàn)椤靶呐K流血“漏洞, OpenSSL成為了該計(jì)劃的第一個(gè)資助對(duì)象。 Linux基金會(huì)宣布“OpenSSL將會(huì)得到的資金包括對(duì)重要開(kāi)發(fā)人員的資助,以及其他一些資源用來(lái)保證安全性, 保證外部審閱, 以及對(duì)補(bǔ)丁需求的及時(shí)反應(yīng)。“ OpenSSL以及其他項(xiàng)目還會(huì)得到關(guān)于計(jì)算及測(cè)試平臺(tái),差旅等方面的資金支持。
這些資金是不帶附加條件的。 Zemlin說(shuō)“我們希望幫助這些開(kāi)源項(xiàng)目,不過(guò)這必須符合他們開(kāi)源社區(qū)的規(guī)矩。 OpenSSL的開(kāi)發(fā)人員為了這個(gè)超級(jí)復(fù)雜的軟件付出了很多。 而這些工作從某種角度來(lái)說(shuō)是吃力不討好的。”
Linux基金會(huì)與OpenSSL社區(qū)還在就資助的一些細(xì)節(jié)進(jìn)行討論。一個(gè)可能的結(jié)果就是OpenSSL項(xiàng)目會(huì)有更多的資金來(lái)雇傭全職的開(kāi)發(fā)人員。
“就像Linux基金會(huì)可以資助Linus Torvalds全職的專注于Linux內(nèi)核的開(kāi)發(fā)那樣, 我們也希望能夠通過(guò)類似的方式使得其他一些基礎(chǔ)的開(kāi)源項(xiàng)目也能有更多的全職開(kāi)發(fā)者。”Linux基金會(huì)表示。
Linux基金會(huì)認(rèn)為開(kāi)源項(xiàng)目的開(kāi)發(fā)者自己就是自己的老板。 “Linus Torvalds并不需要向Jim Zemlin匯報(bào)” Zemlin說(shuō)。
任何公司或個(gè)人都可以通過(guò)這個(gè)鏈接向“核心基礎(chǔ)設(shè)施計(jì)劃”提供捐助。
亡羊補(bǔ)牢,遲來(lái)的核心基礎(chǔ)計(jì)劃
對(duì)于那些為“核心基礎(chǔ)計(jì)劃”提供贊助的大公司來(lái)說(shuō), 如果他們?cè)琰c(diǎn)行動(dòng), 可能就會(huì)避免更大的損失。 “心臟流血”漏洞除了對(duì)Web服務(wù)器造成影響之外, 還影響了很多其他的產(chǎn)品。
IBM已經(jīng)對(duì)它的商業(yè)伙伴發(fā)出警告, 它的一些產(chǎn)品已經(jīng)由于“心臟流血”漏洞而產(chǎn)生了風(fēng)險(xiǎn)。類似的 Cisco, VMware, Dell, Intel以及NetApp也對(duì)他們的客戶發(fā)出了類似的警告。
根據(jù)Steve Marquess, “OpenSSL 應(yīng)該至少有6個(gè)全職工作人員。 才能更好地專注于項(xiàng)目的維護(hù)。 而不是像目前這樣僅僅只有一個(gè)。”
對(duì)于Linux基金會(huì)的計(jì)劃, Marquess表示歡迎。 不過(guò)他在具體細(xì)節(jié)沒(méi)有明確之前并不愿意發(fā)表評(píng)論。
自從“心臟流血“漏洞發(fā)現(xiàn)以后, OpenSSL收到了總計(jì)9000美元的捐款。 除捐款之外, OpenSSL軟件基金會(huì)的開(kāi)發(fā)人員也會(huì)被企業(yè)以每小時(shí)250美元請(qǐng)去做顧問(wèn)。 這些總計(jì)算起來(lái)有些年能夠達(dá)到100萬(wàn)美元。 不過(guò)這些錢(qián)并不一定能夠?qū)penSSL的最終用戶有所幫助。 為企業(yè)的項(xiàng)目收取的顧問(wèn)費(fèi)不一定會(huì)使得OpenSSL開(kāi)源社區(qū)獲益。
Marquess寫(xiě)道“由于沒(méi)有其他收入來(lái)源, 我們不得不通過(guò)商業(yè)顧問(wèn)合同這種形式來(lái)取得收入。有些客戶需要一些與OpenSSL相關(guān)的產(chǎn)品。 他們認(rèn)為OpenSSL的開(kāi)發(fā)者是最合適的人選。因此雇傭我們中的一兩個(gè)人。 這類的合同是我們這些開(kāi)發(fā)人員唯一的大筆收入來(lái)源。”
“有些項(xiàng)目最終會(huì)幫助到整個(gè)OpenSSL項(xiàng)目, 比如說(shuō)加快了一些補(bǔ)丁的過(guò)程,添加了一些新的功能等。 這樣是一種雙贏的格局, 使得雇傭方和開(kāi)源社區(qū)都能獲益, 而有些項(xiàng)目則不可能對(duì)整個(gè)社區(qū)有什么幫助。 比如說(shuō)移植到某個(gè)專有系統(tǒng)或者幫助客戶對(duì)OpenSSL進(jìn)行一些修改。 更糟糕的是, 針對(duì)FIPS(美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn))的項(xiàng)目只能使很少的一部分用戶收益但是需要很大的外包成本。此外, 這樣的項(xiàng)目對(duì)OpenSSL的代碼也有負(fù)面影響, 并且使得我們本來(lái)就有限的人力更加緊張。”
事實(shí)上, OpenSSL團(tuán)隊(duì)已將面臨了一些批評(píng)。 比如OpenBSD的創(chuàng)始人Theo de Raadt已經(jīng)創(chuàng)建了一個(gè)OpenSSL的分支LibreSSL。 他認(rèn)為OpenSSL充滿了“廢棄的”以及難以理解的代碼。
另外一位不具名的開(kāi)發(fā)者也對(duì)媒體表示對(duì)OpenSSL的不滿。 “OpenSSL很少接受代碼提交。 我提供了一些補(bǔ)丁以及相應(yīng)的文檔, 但是從來(lái)沒(méi)有被接受過(guò)。”
這些問(wèn)題都可以歸結(jié)為OpenSSL社區(qū)缺乏資金的緣故。 Zemlin說(shuō):“我不知道為什么OpenSSL社區(qū)資金缺乏問(wèn)題的原因, 很顯然, Linux社區(qū)擁有一個(gè)明星級(jí)的領(lǐng)袖Linus Torvalds。 而OpenSSL是一個(gè)較小的社區(qū),開(kāi)發(fā)人員都太專業(yè)了。”
Zemlin認(rèn)為, 開(kāi)源社區(qū)應(yīng)該從這次“心臟流血“事件中吸取教訓(xùn)。 不能讓類似OpenSSL過(guò)去的情況再發(fā)生了。
在OpenSSL獲得贊助之后, 列入“核心基礎(chǔ)設(shè)施計(jì)劃”考慮資助的開(kāi)源項(xiàng)目還包括Mod SSL, Open Crypto Audit Project, 以及GPG。 Zemlin透露,“核心基礎(chǔ)設(shè)施計(jì)劃”的成員會(huì)開(kāi)會(huì)討論需要進(jìn)行資助的項(xiàng)目。 Linux基金會(huì)做為管理方,成立了一個(gè)指導(dǎo)委員會(huì), 由提供贊助的企業(yè)代表積極重要的開(kāi)源開(kāi)發(fā)者以及其他一些業(yè)界人員組成, 來(lái)決定被資助的項(xiàng)目。
“我們需要考慮哪些開(kāi)源項(xiàng)目對(duì)互聯(lián)網(wǎng)和計(jì)算機(jī)用戶最為重要, 我認(rèn)為在保證互聯(lián)網(wǎng)安全和穩(wěn)定方面有很多的開(kāi)源項(xiàng)目都非常重要,”Zemlin認(rèn)為。
聯(lián)系客服
