活水之下深埋千年秘密（下一个心血漏洞藏在哪里）

互联网所依靠的OpenSSL安全协议只有一名全职员工负责软件安全的维护其他开源协议项目也同样处于人员短缺状态，下面我们就来聊聊关于活水之下深埋千年秘密?接下来我们就一起去了解一下吧!

活水之下深埋千年秘密

互联网所依靠的OpenSSL安全协议只有一名全职员工负责软件安全的维护。其他开源协议项目也同样处于人员短缺状态。

图 | MASHABLE COMPOSITE, ISTOCK, SAUL HERRER

在引发大范围恐慌和大规模更改密码的狂潮之后，“心血”漏洞（Heartbleed bug）一词大都已经从新闻中消失不见。不过由这个漏洞的发现所引起的后果仍是计算机业内热烈讨论的话题。安全专家们最担心的是如何预先填补隐藏在互联网基础中的其他漏洞。

“心血”漏洞在本月早些时候在一款名为OpenSSL的软件中被发现，OpenSSL被广泛用于在网页浏览器和服务器之间建立安全连接，这中间需要对其中的密钥进行处理。OpenSSL是一个“开源”项目，就是说软件的基本代码是与软件一起发布的。和许多开源项目一样，对OpenSSL进行维护的也是一小群志愿者程序员。

使用OpenSSL的大型软件公司正认识到这个问题。上周，为流行的Linux操作系统提供支持的Linux基金会发起了一项名为“核心基础设施计划”的行动来支持小型开源项目。包括谷歌、亚马逊、Facebook、IBM、英特尔、思科和戴尔等企业已经为该计划调拨300多万美元，将由一个指导委员会确定最需要经济援助的开源项目。

“开源的问题在于总是有‘搭便车’的存在。”著名计算机安全专家、应用程序安全评估机构Veracode的联合创始人兼首席技术官克里斯•维索帕尔（Chris Wysopal）说：“使用开源项目成果的公司和个人从中获得了巨额收入，却没有给项目投多少钱来维持项目的发展。”

甚至到了漏洞曝光三周之后，一些反应迟缓的公司仍在升级服务器、安装新的密钥证书，并指导用户重设密码。让维索帕尔这样的专家更为担心的是，构成互联网基础的其他部分与OpenSSL一样，也是小型开源项目。很难说其中哪个项目需要对其代码进行严格检查，排查安全漏洞。

在“心血”漏洞被发现之前，没多少人听说过OpenSSL项目以及大部分时间都投身于该项目的11个人。负责该组织的商业合同的OpenSSL软件基金会只雇佣了一位全职的开发人员。去年，该组织总共收到了2000美元的捐款，在咨询和技术支持服务上的投入远远不够。

OpenSSL 软件基金会的官方筹款人和业务联系人史蒂夫•马奎斯（Steve Marquess）在“心血”漏洞曝光后不久发表博客称：“至少应该有六个没有商务缠身的专职OpenSSL开发成员集中精力对OpenSSL进行维护和输入，而不是仅仅一个人。如果你是一家公司或政府中需要对此事采取措施的决策者，那么拜托，考虑一下我的意见吧。”

马克•麦弗雷特（Marc Maiffret）是一家安全软件公司Beyond Trust的首席技术官。他说，其他开源项目都面临着类似的问题。“人们以为一个项目是开源的，就存在神奇的力量来维持项目、查找漏洞、确保安全。但开源项目一般都是几个人发起的，项目也许会一度流行起来，然后到最后项目死掉时还是只有几个人。”

安全评估机构Veracode的维索帕尔说，问题的关键是，无法评估互联网基础中的各部分重要性的高低：“如果有人要对多个网站发动大范围攻击，哪部分基础设施的应用最广，会首当其冲呢？”

现在的互联网程序员们越来越多地使用一系列不同的工具来编写代码，这使得预测严重漏洞的出现变得更加复杂了。在一家名为Aspect的安全公司去年发布的报告中指出，在供应用程序下载使用的库中，有26%存在已知的漏洞。“问题是软件栈所依赖的基础设施太多了。互联网就像是一块洒满了针的干草堆。” Aspect联合创始人兼首席技术官杰夫•威廉姆斯（Jeff Williams）说。

-----------------------------