一个关于OpenSSL和Linux的开源故事
前段时间的Heartbleed漏洞将本来已经明亮的开 源运动蒙上了一层雾霾,进而对如火如荼的开源激励模式可谓是一种打击。但是悲剧给人带来的并不完全是叹息,还有反思、教训。本文作者Nicole Perlroth就在此文拿OpenSSL和Linux这两个开源项目做比较,分析这两者之间为什么会出现如此之大区别。
不管有多少开源项目饱受诟病,但幸亏还有Linux的存在。Linux是这个世界上无可争议的具有象征意义的开源项目,可以说是对人们就OpenSSL安全漏洞诋毁开源运动而进行的最有说服力的反驳。
世 界各地的志愿者每小时会为Linux提供七种转变方式和数百万行修复代码,并且每年都会自愿为软件提供改善措施。除此之外,包括Hewlett- Packard、Oracle、IBM 和 Samsung 在内的超过180家大公司每年都会贡献一百万美元到Linux基金会——这是一个支持Linux系统的非营利组织。
开源倡导者说:Linux 已经从它强大的外表形象和广泛的知名度里获得了远比 OpenSSL 多得多的好处,这是 OpenSSL 所无法比及的。
每 天售出的成千上万台电视机都是使用 Linux 控制系统,全球92%的高性能电脑使用 Linux 系统,此外,它还可以运行在金融系统、空中交通管制系统、互联网和 Android 智能机上等等。有专家说,正是因为 Linux 如此的多面手,才使得众多的公司愿意投入资金在 Linux 的维护和开发上,因为他们将Linux 视为生财之道。
“事实 上,OpenSSL没有这种知名度的意识是它现在出现一团糟现象的根本原因。”Linux Foundation执行董事 Jim Zemlin 如是说。“我倒并不认为真的存在什么恶意行为来给 OpenSSL 制造麻烦。相反,这是 OpenSSL 的反常行为导致的后果。”
还有些开源人士认为 OpenSSL 现在亟需一位像 Linus Torvalds 这样的大牛去帮助他们解决一些技术上的问题。因为 Linus Torvalds 目前正投身到开源事业中,帮助 OpenSSL 渡过难关应该不是什么难事。
Jim Zemlin 还说,要想作为一个有影响力的行业领导者,形象大使必不可少。正如 Linux 的形象大使就是 Linus Torvalds 和 Greg Kroah-Hartman(另一个知名的Linux开发者)。而另一位开源人士Mozilla Foundation 董事会成员 Brian Behlendorf 也说:“OpenSSL 失败的根本原因在于缺少像Jim Zemlin 这样的领导者,这样一个能让品牌赚钱的领导。”当然,这些都是后话。
可能在 Heartbleed 漏洞出现之前很少有人听说过 Stephen Henson 博士——唯一一个全职维护OpenSSL 和 OpenSSL Software Foundation 的开发者,另外一个人就是 OpenSSL 主管 Steve Marquess。不过现在又有好消息了:Jim Zemlin 和其他的开源人士正在修复这个给很多开源项目带来影响的OpenSSL漏洞。
开源宣言《The Cathedral and the Bazaar》作者 Eric Steven Raymond 说:“OpenSSL并不是唯一一个我们所能看到的互联网漏洞,它只是暴雨来临前的大风,很多类似的情况都藏在我们看不到的地方。比如很多类库都是由志愿 者来维护的,但是其中所存在的问题并未得到足够的重视。所以未雨绸缪是每个领导者必备的技能,如果你不想出现类似Heartbleed漏洞问题的话。”
原文:The NY Times
来自:http://code.csdn.net/news/2819431