仅有两人守护着互联网

jopen 10年前

仅有两人守护着互联网

        OpenSSL 作为一个关键的安全应用,使用于成千上万的网站。这一应用可以确保你的关键信息不被窃取。但随着“心脏出血”漏洞的发现,这一开源协议才被发现负责维护的团队人手严重不足(严格来说全职只有一人)且报酬过低。

        开源项目一直以来都以松散的组织架构存在,即使大公司加入,目的也仅仅是贡献部分代码成为“贡献者”,以在未来商业使用该软件时获得授权。这就导致了开源软件的开发者报酬极低或者没有报酬,大部分开源开发者的目标也仅仅是获得声望与提高技术。

        参与 OpenSSL 开发的两名开发者名为史蒂夫·马奎斯和斯蒂芬·汉森。OpenSSL 出现漏斗是他们最不想听到的事情。2006 年,经过三年的努力,OpenSSL 成为美国政府安全系统的重要组成部分。但是,马上他们就收到一个坏消息:他们的代码,需要更多的改进。OpenSSL 是互联网的默认加密引擎。美国政府态度坚决,它批准的东西将需要的严格的测试。马奎斯作为国防部的顾问,将他的数年时间和大量金钱放到整个项目上。美国政 府的资金在项目开始六个月就已经用完。

        马奎斯表示,“我们不断收到要求,以致做出了愚蠢的改进。”马奎斯,现年 59 岁,每周还要为政府的工作 40 个小时以上。他是政府和他的合作伙伴之间的联系人。他的开发伙伴就是 OpenSSL 代码背后维护的天才-斯蒂芬·汉森,深居简出的 46 岁的英国图论数学博士。

        汉森曾通过电子邮件表示,因为项目进展困难,“每个人都准备离开”。这是自 OpenSSL 心脏出血漏洞被发现后他第一次,也是唯一一次发表意见。

        马奎斯说,“史蒂夫·汉森是我的坚强后盾,我觉得我们为 OpenSSL 所做的是一个很好的事情。不过,你不能让程序员因为 OpenSSL 而挨饿。但是,开源就是这样,这是极有可能发生的事情。当我第一次见到史蒂夫·汉森,这种事情就发生在他身上。根据信息,汉森的薪水只有每年约 2 万美元。

        OpenSSL 的软件基金会的单年收入从来没有超过 100 万美元。它生存主要是靠大公司的聘用合同。这些合同的内容包括每小时 250 美元来的短期工作和低价的几十年长期合同。基金会的一小部分收入还来自捐款者和好心人。这些钱大部分用来做外包的验证测试(几十万美元一年)和新的服务 器、设备投资。最近,德国的服务器升级成本就花费了 8200 美元。

        开源软件一直被业界广泛采用,使用户获得高质量的免费版本商业软件,且没有任何附加条件。大公司都注意到了开源的好处,并热衷拥抱开源。如巴克莱银行通过开源已经把软件费用降低了 90%。但免费也使开源程序员的日子并不好过。

        不过值得庆幸的是,OpenSSL 出现这个巨大的安全漏洞后,它得到了它应有的关注度, 这已经为项目争取了更多的资金,OpenSSL 计划马上就会聘请第二名全职开发人员。

来自: 网易科技