這個開源軟體曾讓全球2/3網站「心臟滴血」，現幕後團隊終於有了 4 名全職員工

如果把 OpenSSL 的 Heartbleed （心臟滴血）漏洞稱為互聯網安全歷史上最嚴重的漏洞之一，想必不會有太多人反對。

SSL（安全套接層）協議是使用最為普遍的網站加密技術，而 OpenSSL 則是開源的 SSL 套件，為全球成千上萬的 web 伺服器所使用。這個嚴重漏洞出現後，全球三分之二的網站可被攻擊，這種攻擊還是「敞開了門，可以隨意掠奪信息」的那種。

2014 年 4 月 9 日，該漏洞被曝光後， OpenSSL 背後的團隊才被媒體爭相報道，他們的故事逐漸為人所知。2015年，鎚子科技羅永浩宣布對 OpenSSL 捐款200萬元，某媒體發表一篇以 OpenSSL 為主角的《隱形戰友》後， OpenSSL 「火」了。隨之而來的，是另一位知名人士對該文章的反對——《到底誰在捍衛我們的隱私？OpenSSL的真實故事》。

爭論的角度集中在這幾個方面：

1. OpenSSL 真的有這麼英雄主義嗎？

2. OpenSSL 真的有這麼窮嗎？之前少有人給他們捐款嗎？

3.真實的 OpenSSL到底是什麼樣子？

9月23日， OpenSSL 團隊成員參觀白山雲科技公司時，OpenSSL創始人之一，美國國防部前顧問 Steve Marquess（也就是《隱形戰友》中的史蒂夫）、OpenSSL前身SSLeay創建者，OpenSSL創始人之一 Tim Hudson 和白山雲科技架構師，OpenSSL代碼貢獻榜排名18 的楊洋接受了包括雷鋒網宅客頻道在內的媒體採訪。

楊洋（左一）、 Tim Hudson（左二）、Steve Marquess（右一）

OpenSSL 的真實故事應該由他們自己來說。

--

Steve 一行人此前從沒有來過中國。

這個星期里，Steve 和 OpenSSL 其他 4 名核心成員還陸續參觀了阿里巴巴、百度、騰訊、華為、鎚子科技等，最後一站他們來到了好隊友楊洋所在的白山雲科技。

華為和鎚子科技確實是中國兩家對 OpenSSL 捐款最多的公司，Steve 在白山雲科技的這場活動中，先對兩家公司表示了感謝。

「我們收到的來自中國的資助要比其他任何一個國家都多。」Steve說。

現在 OpenSSL 日子已經過得好多了，相比三年前只有兩個全職員工，他們現在有個 4 名全職員工，其中兩個全職人員這次也來到了中國。

「『心臟出血』是慘痛的經歷，但是發生這件事情也有好處，這件事情顯示了計算技術和互聯網有多大程度依賴 OpenSSL，很多媒體進行了報道。它的發生是由於嚴重的安全漏洞，OpenSSL 規模那麼大、複雜程度那麼高、影響面那麼大，卻沒有足夠的人力保障它的安全，這是個問題。」Steve 這樣表述了「心臟滴血」漏洞發生的原因。

雖然，在《到底誰在捍衛我們的隱私？OpenSSL 的真實故事》中，作者這樣寫道：

「OpenSSL 公布『心臟出血』漏洞的過程也非常有問題。一般出現嚴重漏洞的流程，是先不對公眾公布，立即通知主流操作系統維護者和相關廠商，讓大家先修改，之後一起發布安全公告和升級。之所以這樣做，是因為如果操作系統不去打補丁，很多普通用戶知道漏洞也沒辦法修補，反而讓黑客們更容易利用這些漏洞。OpenSSL 不是這麼做的，在 Google 告知了他們漏洞之後，OpenSSL 沒有告知任何一家操作系統廠商，反而奇怪的被幾家主要 CDN 廠商知道了，也就是說，在不知道哪個環節發生了泄密。之後開源社區中開始有關於這個重大 Bug 的傳言，直到這個時候，幾大操作系統仍然沒得到正式通知。又過了3天，OpenSSL 才告知了Red Hat……」

在那三天里，OpenSSL 到底發生了什麼？

Tim 稱：「據我所知，心臟滴血事件是由兩個團隊互不知情的情況下獨立發現的。我只對我們所作出的反應負責，對其他公司沒辦法負責。當時這個漏洞是非常嚴重的危險級別，我們所採取的措施也是當時認為合理的措施。整個過程中誰做了什麼、誰發現了什麼漏洞，這都是公開的，可以在我們的網站上查得到。」

出了這麼大的事情，Steve說，對於一個人手有限的團隊來講日子確實不好過。一個看上去本來籍籍無名的團隊瞬間火了，Steve 的好朋友，甚至連他的牙醫都關心地詢問：「最近老在電視上看到你，要不要緊？」

那一段時間，OpenSSL 倍感壓力，收到了很多批評的聲音，他們如履薄冰，擔心未來可能重蹈覆轍，但也收到了一些鼓勵的反饋。讓 Steve 覺得溫暖的是，一些他甚至都沒聽過名字的非洲國家都發來了鼓勵的郵件，以前團隊不太關注的中國也發來了「令人鼓舞的信息」。

「除了擴展到有 4 個全職員工的團隊，一些 OpenSSL 的成員儘管有自己本職工作，但是他們的公司會鼓勵他們做一些 OpenSSL 的工作，這些公司以間接的方式給我們提供了支持。我們還收到數百個中國人以及鎚子科技、華為這兩個中國企業給我們的資助，我們收到中國的資助要比其他任何一個國家都多。」 Steve 說。

此後則是 OpenSSL 的復甦。

這個團隊經歷了重建，從系統上還了之前欠下的技術債。這些技術債是指一些之前沒有進行很好的重構與精減的代碼，後來又不斷加入新代碼和功能，OpenSSL 做了梳理和篩減，儘可能讓內部結構變得不透明，他們有了新代碼庫，第一次重要審計也是在這個期間完成。

此前，還有詬病 OpenSSL 團隊管理混亂的聲音， Steve稱，情況得到了改善，現在OpenSSL 有14位 「貢獻者」和10位管委會成員，其中有 8 名是身兼兩職。

OpenSSL 團隊成員此次來到中國，是楊洋促成的。

讓人難以想像的是，和一個人在線上聊了15年，但從來沒有線下見過面是一種怎樣的體驗。在OpenSSL 團隊中，這是十分常見的現象。更讓人難以想像的是，OpenSSL 整個團隊總共在線下見過三次面。

第一次見面發生在 2014 年德國的一次會議後，那是一種奇妙的體驗，十幾個OpenSSL 團隊的成員走進一間會議室，儘管有些人視頻聊天過，但還是見面不相識。

第三次碰面則是這次在中國：屬於幾個老友的相聚。

楊洋在兩三年前與 OpenSSL 團隊相識，那時他還在阿里巴巴，與 OpenSSL 的接觸屬於項目對接，當時他還沒有兼職為 OpenSSL 貢獻代碼。去年底，楊洋加入白山雲科技，由於公司允許他異地遠程辦公，並支持他同時為 OpenSSL 貢獻代碼，目前這個在家鄉瀋陽工作的小夥子從上午 10 點到下午 6 點為白山雲科技工作，從晚上 8 點到凌晨三點為 OpenSSL 處理相關事宜及貢獻開源代碼。目前，根據代碼量和代碼質量排行的 OpenSSL 貢獻榜上，楊洋排名全球18位，中國區排名第一位。

這家創業才兩年的白山雲科技得知楊洋和 OpenSSL 的淵源後，十分支持他的工作，並將本來是楊洋與OpenSSL 的一次私人聚會變成了一次 OpenSSL 的中國行，全力協助 OpenSSL 團隊的成員與中國著名互聯網公司之間的交流溝通，由於這個團隊沒人懂中文，楊洋還要全程陪同翻譯。

此前，國外也有一些公司支持自己的員工為 OpenSSL 貢獻時間和代碼，但在中國，像楊洋這樣的兼職 OpenSSL 成員並不多，到白山雲科技現場支持的還有同為 OpenSSL 安全研究員的 360 CERT&Gear Team 的石磊。

事實上，誠如《到底誰在捍衛我們的隱私？OpenSSL的真實故事》這篇文章所言，並非沒有人和公司捐助 OpenSSL ，捐助 OpenSSL 的方式有幾種：個人或者公司直接捐款給 OpenSSL 的基金會，通過 Linux 基金會捐款給OpenSSL ，公司或個人貢獻開源代碼或者員工時間給 OpenSSL ……

不過情況也並非批評者說得那麼樂觀。 Steve 告訴雷鋒網，除了自家基金會，只有 Linux 的基金會目前對 OpenSSL 捐款，捐款的數額沒有傳說中那麼大，只負擔這三年來新增的兩位全職人員的全年工資，OpenSSL 尚未得到其他基金會的關注，不過也有一些其他企業和個人的捐款。

「我們主要做一些諮詢的合作，比如幫英特爾這樣的公司。在過去 5 年裡面，我估計 1/4 的營收是從商業性的合作中獲得的。」Steve 說。

Tim 說：「不管是公司還是個人，都有捐獻代碼，我們會進行研究、評估。如果覺得可以的話，我們會加入到軟體鳴謝名單里。也有一些貢獻的形式，有的是代碼，有的是文檔，有的是幫我們找錯誤等，不管是什麼，我們都是很歡迎的。」

三年前，OpenSSL 確實窮到只有「一點點收入」。

Steve稱，OpenSSL 團隊有一個極具才華但是一貧如洗的程序員 Stephen Henson，Stephen窮到什麼程度？Steve 說，窮到我知道的時候都震驚了。

Steve 和 Stephen 是相識 15 年卻依然沒有見過面的老友，因為 Stephen 性格獨特，是一個非常害羞的人，從來沒坐過飛機，甚至連護照都沒有。但是， Stephen 卻是Steve 認為在工作上最靠得住的人，他從來沒有在任何一個項目快結束時遲交過代碼。

也因此，Steve 在知道 Stephen 的困境後，Steve 全權幫助 Stephen 承接一些商業項目支撐生活。

此前提到，Steve 是前美國國防部的顧問，擁有良好的聲譽，早期 Stephen 只是一個不出名的程序員，為了能讓 Stephen 順利獲得這些項目，Steve 只能以自己的名義簽下這些項目，讓 Stephen 全程完成。有時，Stephen 一整年的收入都從Steve 這裡獲得。在兩人沒有簽訂任何協議下，一個以自己的信譽作擔保，一個完全信任對方幫助自己處理財務上的事情，這種默契維持了很多年。

Steve 讀到《隱形戰友》這篇文章的翻譯版時，已經是文章發表的半年後了。對於文章所呈現出的「英雄主義」色彩，Steve 稱，確實誇張了。

有意思的是，當時 Steve 還把文章發給了楊洋，兩人一起討論文章中言過其實的一些細節。

不可否認的是，這篇文章發布後，OpenSSL 收到了一些不錯的反饋，一些來自中國的郵件和捐款找了上來。

雷鋒網編輯沒有問 Steve 等人成立 OpenSSL 的動機。因為他在演講中已經提到，如果要加入 OpenSSL，絕不是因為錢，如果要堅持下來，一定要有過硬的 C 語言編程技能、恆心以及興趣。

「開源的不光是替自己寫代碼，挑戰比較多。我們希望代碼有商業上的意義，有些公司願意僱傭我們的員工。但有些人如果只著眼於利潤，可能沒有耐心投入正常的時間和資金來做開源。這也是為什麼有的開發人員和程序員離開了我們團隊。以我為例，我可以把 OpenSSL 當作興趣來做，我把房子的貸款還清了，女兒畢業了，不欠銀行什麼錢，不用擔心自己餓肚子，因此花了大量時間在 OpenSSL 的工作上。我甚至通過做一些 OpenSSL 相關的諮詢賺到了錢，現在有很多公司都會涉及到 OpenSSL，所以需要這方面的諮詢。」Steve 說。

楊洋則稱，自己做這件事情「just for fun」，就跟大家喜歡聽音樂、看電影一樣。

關於 OpenSSL 和 Steve ，事實上也有一些傳聞和誤解。

Steve 稱，他的工作是一個自由職業諮詢顧問，所做的事情就是服務各行各業的客戶，從一個項目到另外一個項目，做了 40 多年。此前，還有傳言稱他要接觸軍火交易。事實上，他本人並沒有進行過軍火交易，比如槍、導彈。之所以有這種傳聞，是因為此前美國政府有一個規定，密碼或者加密系統被視為武器，所以與軍方有過一次合作項目的 Steve 必須申請武器方面的從業執照。

Steve 加入OpenSSL 時，這還是一個默默無聞的組織，他澄清，自己並沒有那麼強烈的英雄主義情結，這個默默無聞的組織起初也並未讓他獲得所謂「英雄」的感覺。但在「心臟滴血」事件後，加入 OpenSSL 才可能會有這個效應。

OpenSSL 可能只有一些小小的心愿。

「項目背後的動機是什麼？它是一個開源的項目，我們也很樂意看到 OpenSSL 應用廣泛，也希望它的應用繼續擴大下去，能夠造福所有的用戶。我們不確定的是哪一些特性是為人所樂見的，有的公司有特定的需求，但如果它們不告訴我們，我們沒辦法拿到這方面的信息。有時我們會做一些調整， 最後被證明對 OpenSSL 社區是有益的。此外，我們會不斷對補丁進行維護，隨著版本發布進行更新，讓用戶受益。因此，大家覺得有必要出於自己目的來修改 OpenSSL 的話，也許我們也能夠聽到大家的聲音，即使微小調整也許會適應龐大的需求。」Steve 說。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！