Heartbleed 代碼作者發聲：這是一次嚴重的意外

OpenSSL的Heartbleed漏洞最近鬧得沸沸揚揚，眾多互聯網公司的工程師們也是連夜加班，趕在信息泄露前修補漏洞。而這一漏洞的始作俑者——德國軟件工程師Robin Seggelmann——也第一次向媒體表示，這是一次后果嚴重的意外，自己并非有意為之。

Heartbleed事件爆發后，雷鋒網在第一時間進行了報道，對于這一漏洞到底是什么，整個事件的來龍去脈又是怎樣，也做了詳細的分析和解讀。對于自己所去的網站是否仍受此漏洞的影響，可以在Heartbleed Test輸入網址進行查詢。著名的安全專家 Bruce Schneier表示，如果類似事件的影響程度分為1-10級的話，這次事件的影響會達到11級。再讓我們來看一看Heartbleed漏洞的代碼開發者是怎么說的。

不幸的疏漏

Seggelmann表示這一漏洞是他和一位審核員在工作上“不幸”的疏漏造成的，是他們在兩年前將這一漏洞引入了OpenSSL開源加密協議。 “我當時在對OpenSSL進行完善，修訂了許多漏洞，也增加了不少新功能”，Seggelmann表示，“不幸的是，在其中一項功能中，我忘了對一個包 含長度的變量進行驗證。”

在他提交代碼后，審核員也沒有注意到這一遺漏，這一漏洞也就隨正式版本一起被發布。有消息人士稱，當時的審核員是Stephen Henson博士。Seggelmann表示，這是一個十分不起眼的錯誤，但其影響十分嚴重。

陰謀論

Heartbleed事件發生后，除了急忙修補漏洞外，不少陰謀論者紛紛猜測，這次事件是有人有意為之。Seggelmann表示，這種猜測也是理所當然的，特別是在斯諾登（Edward Snowden）事件發生后。

“不過這次事件只是編程上的紕漏，碰巧發生在安全領域而已”，他表示，“我并不是有意留下漏洞，而且之前修復了不少OpenSSL的漏洞，對這一開源項目我只想盡自己的一份力。”

盡管否認了自己有不良企圖，Seggelmann也表示，在過年兩年中，情報機構完全有可能一直在利用這一漏洞。“這完全有可能，在安全領域往壞處想也沒什么不好。不過在漏洞發布前，我自己也一無所知，而且我也不屬于任何情報機構，只能做出一些推測。”

Seggelmann表示，如果這一事件有什么積極影響的話，那就是開源軟件需要更多的人加入進來，貢獻自己的力量。“有幾百萬人在使用OpenSSL，但沒多少人在維護它。開源軟件的好處是每個人都可以隨時檢查代碼，對于OpenSSL這樣的項目，參與的人越多越好。”

在Heartbleed事件發生后，又有不少人以此為契機認為開源軟件沒有閉源軟件安全。不過這不能一概而論。正如Seggelmann所說，開源軟件的優勢是開發過程完全透明，可以隨時發現漏洞。