活水之下深埋千年秘密?互聯網所依靠的OpenSSL安全協議隻有一名全職員工負責軟件安全的維護其他開源協議項目也同樣處于人員短缺狀态，下面我們就來聊聊關于活水之下深埋千年秘密?接下來我們就一起去了解一下吧!

活水之下深埋千年秘密

互聯網所依靠的OpenSSL安全協議隻有一名全職員工負責軟件安全的維護。其他開源協議項目也同樣處于人員短缺狀态。

圖 | MASHABLE COMPOSITE, ISTOCK, SAUL HERRER

在引發大範圍恐慌和大規模更改密碼的狂潮之後，“心血”漏洞（Heartbleed bug）一詞大都已經從新聞中消失不見。不過由這個漏洞的發現所引起的後果仍是計算機業内熱烈讨論的話題。安全專家們最擔心的是如何預先填補隐藏在互聯網基礎中的其他漏洞。

“心血”漏洞在本月早些時候在一款名為OpenSSL的軟件中被發現，OpenSSL被廣泛用于在網頁浏覽器和服務器之間建立安全連接，這中間需要對其中的密鑰進行處理。OpenSSL是一個“開源”項目，就是說軟件的基本代碼是與軟件一起發布的。和許多開源項目一樣，對OpenSSL進行維護的也是一小群志願者程序員。

使用OpenSSL的大型軟件公司正認識到這個問題。上周，為流行的Linux操作系統提供支持的Linux基金會發起了一項名為“核心基礎設施計劃”的行動來支持小型開源項目。包括谷歌、亞馬遜、Facebook、IBM、英特爾、思科和戴爾等企業已經為該計劃調撥300多萬美元，将由一個指導委員會确定最需要經濟援助的開源項目。

“開源的問題在于總是有‘搭便車’的存在。”著名計算機安全專家、應用程序安全評估機構Veracode的聯合創始人兼首席技術官克裡斯•維索帕爾（Chris Wysopal）說：“使用開源項目成果的公司和個人從中獲得了巨額收入，卻沒有給項目投多少錢來維持項目的發展。”

甚至到了漏洞曝光三周之後，一些反應遲緩的公司仍在升級服務器、安裝新的密鑰證書，并指導用戶重設密碼。讓維索帕爾這樣的專家更為擔心的是，構成互聯網基礎的其他部分與OpenSSL一樣，也是小型開源項目。很難說其中哪個項目需要對其代碼進行嚴格檢查，排查安全漏洞。

在“心血”漏洞被發現之前，沒多少人聽說過OpenSSL項目以及大部分時間都投身于該項目的11個人。負責該組織的商業合同的OpenSSL軟件基金會隻雇傭了一位全職的開發人員。去年，該組織總共收到了2000美元的捐款，在咨詢和技術支持服務上的投入遠遠不夠。

OpenSSL 軟件基金會的官方籌款人和業務聯系人史蒂夫•馬奎斯（Steve Marquess）在“心血”漏洞曝光後不久發表博客稱：“至少應該有六個沒有商務纏身的專職OpenSSL開發成員集中精力對OpenSSL進行維護和輸入，而不是僅僅一個人。如果你是一家公司或政府中需要對此事采取措施的決策者，那麼拜托，考慮一下我的意見吧。”

馬克•麥弗雷特（Marc Maiffret）是一家安全軟件公司Beyond Trust的首席技術官。他說，其他開源項目都面臨着類似的問題。“人們以為一個項目是開源的，就存在神奇的力量來維持項目、查找漏洞、确保安全。但開源項目一般都是幾個人發起的，項目也許會一度流行起來，然後到最後項目死掉時還是隻有幾個人。”

安全評估機構Veracode的維索帕爾說，問題的關鍵是，無法評估互聯網基礎中的各部分重要性的高低：“如果有人要對多個網站發動大範圍攻擊，哪部分基礎設施的應用最廣，會首當其沖呢？”

現在的互聯網程序員們越來越多地使用一系列不同的工具來編寫代碼，這使得預測嚴重漏洞的出現變得更加複雜了。在一家名為Aspect的安全公司去年發布的報告中指出，在供應用程序下載使用的庫中，有26%存在已知的漏洞。“問題是軟件棧所依賴的基礎設施太多了。互聯網就像是一塊灑滿了針的幹草堆。” Aspect聯合創始人兼首席技術官傑夫•威廉姆斯（Jeff Williams）說。

-----------------------------

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!