亡羊补牢, “心脏流血”漏洞后OpenSSL终获资助
OpenSSL在互联网安全方面的重要性似乎一直难以与它的支持资金相匹配。作为互联网里应用最广泛的开源加密软件库, OpenSSL保护着数十万网站, 保护着那些销售数十亿美金的大公司,然而, 这个开源项目的资金情况缺失一直捉襟见肘。 据OpenSSL软件基金的主席SteveMarquess在博客中介绍, OpenSSL通常每年收到的捐款约为2000美元。 仅仅只能雇佣只有一名全职员工从事编程工作。
所以, 当OpenSSL出现“心脏流血“漏洞时, 我们也并不能过分责怪这个开源项目的维护者们。 OpenSSL作为开源项目运行的窘境与其他一些从大公司接受到大笔捐款的的开源项目形成了鲜明的对比。 比如说Linux内核项目, 就拥有一个基金会, 有数名全职雇员。 基金会从HP, IBM, RedHat,Intel, Oracle,Google, Cisco以及其他很多很多公司接受捐款。 这些公司的员工同时也向Linux内核提供代码。
OpenSSL项目的窘境也引发了开源社区的关注。 上周Linux基金会宣布了一个3年期的“核心基础设施计划”(CII), 打算至少提供390万美元用来资助那些经费不足的开源项目。 OpenSSL项目成为第一个资助的对象。根据Linux基金会的执行总监Jim Zemlin透露, 亚马逊, Cisco, Dell, Facebook,富士通, Google, IBM, Intel,微软, NetApp, Qualcomm, Rackspace以及VMWare公司都已经明确表示在今后三年至少每年赞助10万美元用于这个“核心基础设施计划”。
当然, 这笔钱会用到几个不同的开源项目, OpenSSL会得到其中的一部分。除OpenSSL之外,这个计划还会挑选其他的一些重要的开源项目来进行资助。
“老实说, 我们三年前就应该开始这样的计划。”Jim Zemlin说。
因为“心脏流血“漏洞, OpenSSL成为了该计划的第一个资助对象。 Linux基金会宣布“OpenSSL将会得到的资金包括对重要开发人员的资助,以及其他一些资源用来保证安全性, 保证外部审阅, 以及对补丁需求的及时反应。“ OpenSSL以及其他项目还会得到关于计算及测试平台,差旅等方面的资金支持。
这些资金是不带附加条件的。 Zemlin说“我们希望帮助这些开源项目,不过这必须符合他们开源社区的规矩。 OpenSSL的开发人员为了这个超级复杂的软件付出了很多。 而这些工作从某种角度来说是吃力不讨好的。”
Linux基金会与OpenSSL社区还在就资助的一些细节进行讨论。一个可能的结果就是OpenSSL项目会有更多的资金来雇佣全职的开发人员。
“就像Linux基金会可以资助Linus Torvalds全职的专注于Linux内核的开发那样, 我们也希望能够通过类似的方式使得其他一些基础的开源项目也能有更多的全职开发者。”Linux基金会表示。
Linux基金会认为开源项目的开发者自己就是自己的老板。 “Linus Torvalds并不需要向Jim Zemlin汇报” Zemlin说。
任何公司或个人都可以通过这个链接向“核心基础设施计划”提供捐助。
亡羊补牢,迟来的核心基础计划
对于那些为“核心基础计划”提供赞助的大公司来说, 如果他们早点行动, 可能就会避免更大的损失。 “心脏流血”漏洞除了对Web服务器造成影响之外, 还影响了很多其他的产品。
IBM已经对它的商业伙伴发出警告, 它的一些产品已经由于“心脏流血”漏洞而产生了风险。类似的 Cisco, VMware, Dell, Intel以及NetApp也对他们的客户发出了类似的警告。
根据Steve Marquess, “OpenSSL 应该至少有6个全职工作人员。 才能更好地专注于项目的维护。 而不是像目前这样仅仅只有一个。”
对于Linux基金会的计划, Marquess表示欢迎。 不过他在具体细节没有明确之前并不愿意发表评论。
自从“心脏流血“漏洞发现以后, OpenSSL收到了总计9000美元的捐款。 除捐款之外, OpenSSL软件基金会的开发人员也会被企业以每小时250美元请去做顾问。 这些总计算起来有些年能够达到100万美元。 不过这些钱并不一定能够对OpenSSL的最终用户有所帮助。 为企业的项目收取的顾问费不一定会使得OpenSSL开源社区获益。
Marquess写道“由于没有其他收入来源, 我们不得不通过商业顾问合同这种形式来取得收入。有些客户需要一些与OpenSSL相关的产品。 他们认为OpenSSL的开发者是最合适的人选。因此雇佣我们中的一两个人。 这类的合同是我们这些开发人员唯一的大笔收入来源。”
“有些项目最终会帮助到整个OpenSSL项目, 比如说加快了一些补丁的过程,添加了一些新的功能等。 这样是一种双赢的格局, 使得雇佣方和开源社区都能获益, 而有些项目则不可能对整个社区有什么帮助。 比如说移植到某个专有系统或者帮助客户对OpenSSL进行一些修改。 更糟糕的是, 针对FIPS(美国联邦信息处理标准)的项目只能使很少的一部分用户收益但是需要很大的外包成本。此外, 这样的项目对OpenSSL的代码也有负面影响, 并且使得我们本来就有限的人力更加紧张。”
事实上, OpenSSL团队已将面临了一些批评。 比如OpenBSD的创始人Theo de Raadt已经创建了一个OpenSSL的分支LibreSSL。 他认为OpenSSL充满了“废弃的”以及难以理解的代码。
另外一位不具名的开发者也对媒体表示对OpenSSL的不满。 “OpenSSL很少接受代码提交。 我提供了一些补丁以及相应的文档, 但是从来没有被接受过。”
这些问题都可以归结为OpenSSL社区缺乏资金的缘故。 Zemlin说:“我不知道为什么OpenSSL社区资金缺乏问题的原因, 很显然, Linux社区拥有一个明星级的领袖Linus Torvalds。 而OpenSSL是一个较小的社区,开发人员都太专业了。”
Zemlin认为, 开源社区应该从这次“心脏流血“事件中吸取教训。 不能让类似OpenSSL过去的情况再发生了。
在OpenSSL获得赞助之后, 列入“核心基础设施计划”考虑资助的开源项目还包括Mod SSL, Open Crypto Audit Project, 以及GPG。 Zemlin透露,“核心基础设施计划”的成员会开会讨论需要进行资助的项目。 Linux基金会做为管理方,成立了一个指导委员会, 由提供赞助的企业代表积极重要的开源开发者以及其他一些业界人员组成, 来决定被资助的项目。
“我们需要考虑哪些开源项目对互联网和计算机用户最为重要, 我认为在保证互联网安全和稳定方面有很多的开源项目都非常重要,”Zemlin认为。
文章来自:安全牛网
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: