導語：美國《華爾街日報》網(wǎng)絡版今天撰文稱，震驚互聯(lián)網(wǎng)的“心臟流血”漏洞暴露出OpenSSL的一大軟肋：如此重要的項目多年來始終面臨著資金和人手不足的窘境，多數(shù)工作都要由位數(shù)不多的志愿者來完成。
　　以下為文章主要內(nèi)容：
　　本周在全球掀起軒然大波的OpenSSL“心臟流血”漏洞，暴露出互聯(lián)網(wǎng)安全領(lǐng)域的一大薄弱環(huán)節(jié)：該項目的工作量十分艱巨，但多數(shù)工作都僅由4位歐洲程序員以及美國馬里蘭的1位前軍事顧問承擔。
　　這個團隊由11人組成，但多數(shù)都是志愿者，只有1人全職為其效力。他們每年的預算不到100萬美元，而本周一披露的“心臟流血”漏洞則是一位年輕的德國研究人員的一個無心之舉導致的。
　　“這個項目的人員之少令人震驚�！泵绹�安全公司Social & Scientific Systems加密專家肯尼斯·懷特(Kenneth White)說，“要知道，這可是當今互聯(lián)網(wǎng)上最為復雜的通訊代碼之一�！�
　　OpenSSL項目創(chuàng)立于1998年，目的是提供一組免費的加密工具。經(jīng)過多年的發(fā)展后，全世界大約有三分之二的網(wǎng)絡服務器都采用了這一工具。各大網(wǎng)站、網(wǎng)絡設(shè)備公司和政府機構(gòu)都利用OpenSSL工具保護個人信息和其他敏感數(shù)據(jù)。
　　因此，當谷歌(530.6, -10.35, -1.91%)和Codenomicon周一披露黑客可能借助“心臟流血”竊取這類數(shù)據(jù)后，互聯(lián)網(wǎng)立刻陷入恐慌。
　　而在彭博社周五披露美國國家安全局(以下簡稱“NSA”)早在兩年前就已經(jīng)知曉這一漏洞，并且借此搜集外國情報后，恐慌情緒進一步蔓延。不過，NSA、白宮和美國國家情報總監(jiān)辦公室均否認了這一報道。
　　“有關(guān)NSA或其他政府部門在2014年4月之前便已知曉所謂的‘心臟流血’漏洞的報道，均不屬實�！卑讓m國家安全委員會發(fā)言人卡特琳·海登(Caitlin Hayden)說。
　　周五早些時候，一位向OpenSSL提供志愿服務的德國程序員承認，他在2011年跨年夜當天開發(fā)OpenSSL漏洞修復程序時，無意間引出了這一漏洞。這位名叫羅賓·賽格爾曼(Robin Seggelmann)程序員現(xiàn)年31歲，任職于德國電信旗下的T-Systems。他在一篇博客中表示，很多參與OpenSSL的程序員都沒有注意到這項錯誤。
　　在復雜的程序中，錯誤在所難免，微軟(39.21, -0.15, -0.38%)、蘋果(519.61, -3.87, -0.74%)和谷歌每月都會宣布多項系統(tǒng)漏洞。但接近OpenSSL項目的人士表示，該項目的一部分資金來自于外界捐助，而資金和人手不足導致該問題進一步惡化，使之在長達兩年的時間內(nèi)都沒有被人發(fā)現(xiàn)。
　　“心臟流血”漏洞還引發(fā)了另外一個問題：互聯(lián)網(wǎng)是否應該如此集中地依賴同一款技術(shù)來保護數(shù)據(jù)安全�！爸灰�技術(shù)過于集中，便會因為一個漏洞令所有人遭遇威脅�！奔s翰霍普金斯大學密碼學專家馬修·格林(Matthew Green)說。
　　OpenSSL項目只擁有一名全職開發(fā)者：史蒂芬·亨森(Stephen Henson)，這位46歲的英國密碼學家擁有數(shù)學博士學位。另外兩位英國居民和一位德國開發(fā)者則組成了該項目的管理團隊。
　　在同事眼中，亨森才華橫溢，但他為人有些冷淡，而且工作負荷過大。當一些企業(yè)向他詢問使用OpenSSL的免費建議時，他反問道：“如果我向你的公司尋求大量的免費建議，你們會作何反應？”
　　OpenSSL項目的工作模式如下：該團隊不斷改進一種名為SSL或TLS的加密協(xié)議，從而保證黑客無法讀取用戶發(fā)給網(wǎng)站的信息。這種如今被廣泛使用的軟件的基礎(chǔ)代碼，是埃里克·楊(Eric Young)在1990年代開發(fā)的，他目前在EMC(26.65, -0.35, -1.30%)旗下的RSA安全部門擔任工程師。
　　OpenSSL的所有團隊都位于美國之外，目的是避免高級加密技術(shù)受到軍火出口法律的限制。


　　OpenSSL開發(fā)團隊的志愿者杰弗里·索普(Geoffrey Thorpe)表示，由于他在一家軟件技術(shù)公司的工作非常繁忙，所以分配給該項目的時間很少。家住魁北克市的索普說：“這就像清理下水道，又骯臟、又復雜，但出問題前，一切都會被人視為理所當然的�！�
　　過去十年間，家住馬里蘭州的美國國防部前顧問史蒂夫·馬奎斯(Steve Marquess)通過一個名叫“OpenSSL軟件基金會”的組織，為該項目籌集捐款和簽訂咨詢合同。
　　馬奎斯曾經(jīng)幫助OpenSSL項目從美國國土安全部和國防部拉到了贊助，但他無法證實彭博社周五報道的真實性。
　　自從“心臟流血”漏洞曝光后，該基金會的捐款額略有提升，但多數(shù)仍是5美元和10美元的小額捐款。更重要的是，OpenSSL還需要更多人手對代碼進行審核。
　　美國網(wǎng)絡安全公司Qualys表示，他們向OpenSSL軟件基金會捐獻了少量資金來從事安全代碼工作。雖然該公司發(fā)言人不肯透露具體金額，但卻表示，OpenSSL將其列為“主要捐贈者”，表明其“資金嚴重不足”。(鼎宏)