一個關于OpenSSL和Linux的開源故事

前段時間的Heartbleed漏洞將本來已經明亮的開 源運動蒙上了一層霧霾，進而對如火如荼的開源激勵模式可謂是一種打擊。但是悲劇給人帶來的并不完全是嘆息，還有反思、教訓。本文作者Nicole Perlroth就在此文拿OpenSSL和Linux這兩個開源項目做比較，分析這兩者之間為什么會出現如此之大區別。

不管有多少開源項目飽受詬病，但幸虧還有Linux的存在。Linux是這個世界上無可爭議的具有象征意義的開源項目，可以說是對人們就OpenSSL安全漏洞詆毀開源運動而進行的最有說服力的反駁。

世 界各地的志愿者每小時會為Linux提供七種轉變方式和數百萬行修復代碼，并且每年都會自愿為軟件提供改善措施。除此之外，包括Hewlett- Packard、Oracle、IBM 和 Samsung 在內的超過180家大公司每年都會貢獻一百萬美元到Linux基金會——這是一個支持Linux系統的非營利組織。

開源倡導者說：Linux 已經從它強大的外表形象和廣泛的知名度里獲得了遠比 OpenSSL 多得多的好處，這是 OpenSSL 所無法比及的。

每 天售出的成千上萬臺電視機都是使用 Linux 控制系統，全球92%的高性能電腦使用 Linux 系統，此外，它還可以運行在金融系統、空中交通管制系統、互聯網和 Android 智能機上等等。有專家說，正是因為 Linux 如此的多面手，才使得眾多的公司愿意投入資金在 Linux 的維護和開發上，因為他們將Linux 視為生財之道。

“事實 上，OpenSSL沒有這種知名度的意識是它現在出現一團糟現象的根本原因。”Linux Foundation執行董事 Jim Zemlin 如是說。“我倒并不認為真的存在什么惡意行為來給 OpenSSL 制造麻煩。相反，這是 OpenSSL 的反常行為導致的后果。”

還有些開源人士認為 OpenSSL 現在亟需一位像 Linus Torvalds 這樣的大牛去幫助他們解決一些技術上的問題。因為 Linus Torvalds 目前正投身到開源事業中，幫助 OpenSSL 渡過難關應該不是什么難事。

Jim Zemlin 還說，要想作為一個有影響力的行業領導者，形象大使必不可少。正如 Linux 的形象大使就是 Linus Torvalds 和 Greg Kroah-Hartman（另一個知名的Linux開發者）。而另一位開源人士Mozilla Foundation 董事會成員 Brian Behlendorf 也說：“OpenSSL 失敗的根本原因在于缺少像Jim Zemlin 這樣的領導者，這樣一個能讓品牌賺錢的領導。”當然，這些都是后話。

可能在 Heartbleed 漏洞出現之前很少有人聽說過 Stephen Henson 博士——唯一一個全職維護OpenSSL 和 OpenSSL Software Foundation 的開發者，另外一個人就是 OpenSSL 主管 Steve Marquess。不過現在又有好消息了：Jim Zemlin 和其他的開源人士正在修復這個給很多開源項目帶來影響的OpenSSL漏洞。

開源宣言《The Cathedral and the Bazaar》作者 Eric Steven Raymond 說：“OpenSSL并不是唯一一個我們所能看到的互聯網漏洞，它只是暴雨來臨前的大風，很多類似的情況都藏在我們看不到的地方。比如很多類庫都是由志愿 者來維護的，但是其中所存在的問題并未得到足夠的重視。所以未雨綢繆是每個領導者必備的技能，如果你不想出現類似Heartbleed漏洞問題的話。”

原文：The NY Times