導(dǎo)語(yǔ)：美國(guó)《華爾街日?qǐng)?bào)》網(wǎng)絡(luò)版今天撰文稱，震驚互聯(lián)網(wǎng)的“心臟流血”漏洞暴露出OpenSSL的一大軟肋：如此重要的項(xiàng)目多年來(lái)始終面臨著資金和人手不足的窘境，多數(shù)工作都要由位數(shù)不多的志愿者來(lái)完成。
　　以下為文章主要內(nèi)容：
　　本周在全球掀起軒然大波的OpenSSL“心臟流血”漏洞，暴露出互聯(lián)網(wǎng)安全領(lǐng)域的一大薄弱環(huán)節(jié)：該項(xiàng)目的工作量十分艱巨，但多數(shù)工作都僅由4位歐洲程序員以及美國(guó)馬里蘭的1位前軍事顧問(wèn)承擔(dān)。
　　這個(gè)團(tuán)隊(duì)由11人組成，但多數(shù)都是志愿者，只有1人全職為其效力。他們每年的預(yù)算不到100萬(wàn)美元，而本周一披露的“心臟流血”漏洞則是一位年輕的德國(guó)研究人員的一個(gè)無(wú)心之舉導(dǎo)致的。
　　“這個(gè)項(xiàng)目的人員之少令人震驚�！泵绹�(guó)安全公司Social & Scientific Systems加密專家肯尼斯·懷特(Kenneth White)說(shuō)，“要知道，這可是當(dāng)今互聯(lián)網(wǎng)上最為復(fù)雜的通訊代碼之一�！�
　　OpenSSL項(xiàng)目創(chuàng)立于1998年，目的是提供一組免費(fèi)的加密工具。經(jīng)過(guò)多年的發(fā)展后，全世界大約有三分之二的網(wǎng)絡(luò)服務(wù)器都采用了這一工具。各大網(wǎng)站、網(wǎng)絡(luò)設(shè)備公司和政府機(jī)構(gòu)都利用OpenSSL工具保護(hù)個(gè)人信息和其他敏感數(shù)據(jù)。
　　因此，當(dāng)谷歌(530.6, -10.35, -1.91%)和Codenomicon周一披露黑客可能借助“心臟流血”竊取這類數(shù)據(jù)后，互聯(lián)網(wǎng)立刻陷入恐慌。
　　而在彭博社周五披露美國(guó)國(guó)家安全局(以下簡(jiǎn)稱“NSA”)早在兩年前就已經(jīng)知曉這一漏洞，并且借此搜集外國(guó)情報(bào)后，恐慌情緒進(jìn)一步蔓延。不過(guò)，NSA、白宮和美國(guó)國(guó)家情報(bào)總監(jiān)辦公室均否認(rèn)了這一報(bào)道。
　　“有關(guān)NSA或其他政府部門在2014年4月之前便已知曉所謂的‘心臟流血’漏洞的報(bào)道，均不屬實(shí)�！卑讓m國(guó)家安全委員會(huì)發(fā)言人卡特琳·海登(Caitlin Hayden)說(shuō)。
　　周五早些時(shí)候，一位向OpenSSL提供志愿服務(wù)的德國(guó)程序員承認(rèn)，他在2011年跨年夜當(dāng)天開(kāi)發(fā)OpenSSL漏洞修復(fù)程序時(shí)，無(wú)意間引出了這一漏洞。這位名叫羅賓·賽格爾曼(Robin Seggelmann)程序員現(xiàn)年31歲，任職于德國(guó)電信旗下的T-Systems。他在一篇博客中表示，很多參與OpenSSL的程序員都沒(méi)有注意到這項(xiàng)錯(cuò)誤。
　　在復(fù)雜的程序中，錯(cuò)誤在所難免，微軟(39.21, -0.15, -0.38%)、蘋果(519.61, -3.87, -0.74%)和谷歌每月都會(huì)宣布多項(xiàng)系統(tǒng)漏洞。但接近OpenSSL項(xiàng)目的人士表示，該項(xiàng)目的一部分資金來(lái)自于外界捐助，而資金和人手不足導(dǎo)致該問(wèn)題進(jìn)一步惡化，使之在長(zhǎng)達(dá)兩年的時(shí)間內(nèi)都沒(méi)有被人發(fā)現(xiàn)。
　　“心臟流血”漏洞還引發(fā)了另外一個(gè)問(wèn)題：互聯(lián)網(wǎng)是否應(yīng)該如此集中地依賴同一款技術(shù)來(lái)保護(hù)數(shù)據(jù)安全。“只要技術(shù)過(guò)于集中，便會(huì)因?yàn)橐粋�(gè)漏洞令所有人遭遇威脅。”約翰霍普金斯大學(xué)密碼學(xué)專家馬修·格林(Matthew Green)說(shuō)。
　　OpenSSL項(xiàng)目只擁有一名全職開(kāi)發(fā)者：史蒂芬·亨森(Stephen Henson)，這位46歲的英國(guó)密碼學(xué)家擁有數(shù)學(xué)博士學(xué)位。另外兩位英國(guó)居民和一位德國(guó)開(kāi)發(fā)者則組成了該項(xiàng)目的管理團(tuán)隊(duì)。
　　在同事眼中，亨森才華橫溢，但他為人有些冷淡，而且工作負(fù)荷過(guò)大。當(dāng)一些企業(yè)向他詢問(wèn)使用OpenSSL的免費(fèi)建議時(shí)，他反問(wèn)道：“如果我向你的公司尋求大量的免費(fèi)建議，你們會(huì)作何反應(yīng)？”
　　OpenSSL項(xiàng)目的工作模式如下：該團(tuán)隊(duì)不斷改進(jìn)一種名為SSL或TLS的加密協(xié)議，從而保證黑客無(wú)法讀取用戶發(fā)給網(wǎng)站的信息。這種如今被廣泛使用的軟件的基礎(chǔ)代碼，是埃里克·楊(Eric Young)在1990年代開(kāi)發(fā)的，他目前在EMC(26.65, -0.35, -1.30%)旗下的RSA安全部門擔(dān)任工程師。
　　OpenSSL的所有團(tuán)隊(duì)都位于美國(guó)之外，目的是避免高級(jí)加密技術(shù)受到軍火出口法律的限制。


　　OpenSSL開(kāi)發(fā)團(tuán)隊(duì)的志愿者杰弗里·索普(Geoffrey Thorpe)表示，由于他在一家軟件技術(shù)公司的工作非常繁忙，所以分配給該項(xiàng)目的時(shí)間很少。家住魁北克市的索普說(shuō)：“這就像清理下水道，又骯臟、又復(fù)雜，但出問(wèn)題前，一切都會(huì)被人視為理所當(dāng)然的。”
　　過(guò)去十年間，家住馬里蘭州的美國(guó)國(guó)防部前顧問(wèn)史蒂夫·馬奎斯(Steve Marquess)通過(guò)一個(gè)名叫“OpenSSL軟件基金會(huì)”的組織，為該項(xiàng)目籌集捐款和簽訂咨詢合同。
　　馬奎斯曾經(jīng)幫助OpenSSL項(xiàng)目從美國(guó)國(guó)土安全部和國(guó)防部拉到了贊助，但他無(wú)法證實(shí)彭博社周五報(bào)道的真實(shí)性。
　　自從“心臟流血”漏洞曝光后，該基金會(huì)的捐款額略有提升，但多數(shù)仍是5美元和10美元的小額捐款。更重要的是，OpenSSL還需要更多人手對(duì)代碼進(jìn)行審核。
　　美國(guó)網(wǎng)絡(luò)安全公司Qualys表示，他們向OpenSSL軟件基金會(huì)捐獻(xiàn)了少量資金來(lái)從事安全代碼工作。雖然該公司發(fā)言人不肯透露具體金額，但卻表示，OpenSSL將其列為“主要捐贈(zèng)者”，表明其“資金嚴(yán)重不足”。(鼎宏)