V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  信息安全

原来 OpenSSL 的核心维护人员就只有两个

  Livid · 2014-04-28 12:57:45 +08:00 · 12337 次点击
这是一个创建于 3867 天前的主题,其中的信息可能已经有所发展或是发生改变。
20 条回复    2014-04-29 13:46:55 +08:00
usedname
    1
usedname  
   2014-04-28 13:03:30 +08:00
开源项目现在的处境真的是不能谈。。。人艰不拆
dong3580
    2
dong3580  
   2014-04-28 13:45:34 +08:00
其实我更关注这个人员说的,
1.只有一个是全职的,每周工作40小时以上还觉得花费的时间太多。(40/7~6小时)
2.我朝都是要加班的啊。
3.很多开源都是兴趣,没有报酬实在难以让一个忙碌的人永远去维护,
skydiver
    3
skydiver  
   2014-04-28 13:47:50 +08:00
@dong3580 40/5=8
dong3580
    4
dong3580  
   2014-04-28 13:51:16 +08:00
@skydiver
累的跟狗似地,底层码农,你见过天朝是5天的有多少?除了要倒闭的,
liprais
    5
liprais  
   2014-04-28 14:08:08 +08:00
@dong3580 除了互联网公司以外还是有有很多公司在写代码的
dorentus
    6
dorentus  
   2014-04-28 14:22:27 +08:00
@dong3580 五天的相当多,5d x 8h 稍微少些,不过其实也很多。
lincanbin
    7
lincanbin  
   2014-04-28 14:32:35 +08:00
没多少钱赚的,能有两个就不错了。
他们到现在收了多少捐赠?
lincanbin
    8
lincanbin  
   2014-04-28 14:33:27 +08:00
http://www.oschina.net/news/50696/openssl-donations

OpenSSL 项目一年只获得 2000 美元捐款

全世界有无数公司依赖于开源加密库OpenSSL,其中不乏思科和雅虎这样的科技巨头。但如此重要的一个项目它每年获得的捐款却是少的可怜,连一名美国普通程序员的薪水都支付不起。OpenSSL软件基金会董事长兼联合创始人Steve Marquess在邮件列表上透露, OpenSSL项目通常一年只收到2000美元捐款。本周公开的Heartbleed高危漏洞增加了OpenSSL的曝光度,基金会收到了约200次捐款,总额约3000美元,捐款金额从0.02到300美元不等,其中有人多次捐款。他表示,所有的捐款将直接提供给OpenSSL项目团队。
est
    9
est  
   2014-04-28 14:40:09 +08:00
python语言是蟒爹某一年圣诞节觉得无聊,于是就仿照ABC语言写了个新语言。
glasslion
    10
glasslion  
   2014-04-28 15:28:44 +08:00
OpenSSL 这种知名项目真要缺钱缺人,去reddit,HN上吼一声就有了,说到底还是项目管理者太不负责
lch21
    11
lch21  
   2014-04-28 15:35:37 +08:00
免费的是最贵的
windyboy
    12
windyboy  
   2014-04-28 16:09:48 +08:00
现在不是发起了一个基金专门给钱这些基础性质的项目
terry0824
    13
terry0824  
   2014-04-28 16:15:43 +08:00
@dong3580 美帝程序员很少有周末上班的,除了startup。除了FLAGT几家用人比较猛的可能每周能到60小时,其他不少都不到40小时……例如思科,例如Oracle
est
    14
est  
   2014-04-28 16:24:54 +08:00
https://news.ycombinator.com/item?id=7658762

加密技术以前是跟军火一样的严格限制出口的技术。

EFF基金会代表DJB状告美国政府,发表软件和自由言论一样,受宪法第一修正案保护,这才把openssl 一类的东西扩散开来。

否则。兲朝估计会跟南韩一样使用SEED类似的插件去强制执行 “国有加密技术标准”

另外windows下的schannel 是独立实现的。Mozilla和Chrome也搞了个NSS
wdlth
    15
wdlth  
   2014-04-28 23:41:23 +08:00
思科用了这么多年OpenSSL,怎么不捐点钱呢……
delphij
    16
delphij  
   2014-04-29 06:30:59 +08:00   ❤️ 1
首先,像 OpenSSL 这样的项目只要嚷嚷一嗓子说我们需要钱或者需要人,是绝对不可能没钱没人的。其次, OpenSSL 的开发者很多都受雇于使用 OpenSSL 的大公司,所以你说它缺钱、缺人,这个也并不是那么说得过去的理由。

这次这事其实搞得我十分火大。实际上包括我们(FreeBSD)、Debian,甚至RedHat在内的人在这个漏洞正式公布之前几天都一直被蒙在鼓里,而与此同时这个漏洞本身却据说已经通过不正常的管道流出给了其他人。

我本人提前几天从一家大厂的非正式渠道得到了十分含糊不清的消息(OpenSSL有个漏洞),由于这是非正式渠道,所以我在第一时间立即写信给 OpenSSL 的开发人员求证,结果石沉大海,而后来则有人说我不应该提前得知这个消息。

直到 4 月 6 号晚上,RedHat的工程师(之前和对方没有任何联系,顺带在此表示感谢)才在 distros 列表发了一则简短的消息,大意是:“有漏洞,给我写信要补丁,统一 4 月 9 日发,CVSS 5.0”。同样没有细节,但我追过去邮件询问后,在两个小时后得到了完整的补丁和一些补充的细节。

而第二天一大早,OpenSSL 直接发布了新版、安全公告。正常的安全公告流程是先告知下游厂商并指定一个(通常几天,最多不超过三周)联合公告日期。直接发新版+公告是只有在发生了重大泄密事件,必须立即制止攻击时才应采取的做法。显然,以这个漏洞的严重程度来说,基本只要发生了泄密就必须立即采取断然措施了,但是具体在什么环节发生了泄密?泄密程度如何?我不知道,但是这样做的意味着所有我们这些下游操作系统的安全团队必须放开手里的其他工作,开始手忙脚乱地做补丁、写安全公告,等等。

事情发展到这个地步,想忍住不骂是很难的,Debian 的安全团队很快整理了一份时间线,我没顾上这事,后来也就没再跟这个话题,我觉得他们在网上发的那些东西已经是尽量压着怒气了。

说手忙脚乱是因为发安全公告这种事情需要一系列验证、测试等等。随着几家提前得知消息的机构在第一时间发表他们各自的 blog(比如某CDN说我们的顾客不受影响,实话实说我很想骂人:鬼知道他们之前什么时候升级的 OpenSSL,这漏洞存在两年了,你只是提前一个礼拜修正问题,怎么就那么有把握自己之前没受攻击?)、网站(比如某安全公司提前2天就注册了域名并发布的网站;这里提供的信息还是很有用的,虽然最开始有些事实方面的无伤大雅的小错误)等等,很快各大媒体开始以头条报道这次事件,所以除了公告之外,我们还需要向社区提供进一步的防御信息(这个是必要的)以及不断地辟谣:不断地有那种只看了标题就出来胡喷的伪技术人员出现,而你要跟这些人讲道理是很困难的,因为他们不仅不理解问题到底是什么,而且意识不到这一点。

当天下午,我收到了一封来自漏洞评级机构的邮件,将这个漏洞的严重程度直接上修成了极为罕见的 9.4。(满分是10;一两个星期之后重新修回了 5.0)。9.4分的评级,我看了、写了这么多年安全公告,这么高的评级可以说是头一次见到。

而另一方面,类似 CloudFlare 这样的厂商则提前得到了通知(据说不是 OpenSSL 通知的他们,我不知道是否属实,姑且相信吧)。我本人在随后和 OpenSSL 的人员沟通之后得到的答覆是 OpenSSL 没有提前告知任何人的义务,而他们提前发表公告的原因是发现了泄密。自然,这么说完全可以理解,但我不认为这种做法可以原谅。

所以,我不打算给 OpenSSL 捐款:OpenSSL缺的首先不是钱,而是领导力:时至今日,假如不是 OpenBSD 做的那个 libressl 的项目,有些2010年的漏洞不知道要到什么时候才会修,有时间集成新的代码而没时间去验证和应用别人的patch任由bug报告晒在那里风干,这作为一项基础安全软件实在是没办法接受的。

是的,没错,目前暂时没有合适的 OpenSSL 的替代品,但是这不代表以后不会有,另外至少就我观察, OpenSSL 到目前为止,虽然有在朝着好的方向迈进,但是步子似乎也太慢了一点。
waitforme
    17
waitforme  
   2014-04-29 09:21:58 +08:00
如果OpenSSL进展很缓慢,为什么没有人fork一个分支自己来做呢,是不是很难啊
mengzhuo
    18
mengzhuo  
   2014-04-29 09:54:49 +08:00
开源软件作者表示人艰不拆……
delphij
    19
delphij  
   2014-04-29 11:45:42 +08:00
@waitforme 得看谁fork吧。比如说我为什么愿意相信这个fork比Matthew Green、Dr. Stephen Henson做的更好?
taomaree
    20
taomaree  
   2014-04-29 13:46:55 +08:00
另起炉灶的polarssl 如何呢? 貌似openvpn 已经切换到polarssl 了。
链接 https://polarssl.org/
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2720 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 22ms · UTC 15:46 · PVG 23:46 · LAX 07:46 · JFK 10:46
Developed with CodeLauncher
♥ Do have faith in what you're doing.