谷歌等巨头力促业界健康 联手预防下个Heartblood

From: 时间: 2014/4/29 13:27:07
【环球科技综合报道】据美国《连线》杂志4月24日报道，日前，谷歌、Facebook以及微软等业界巨头共同筹资，欲联手阻止另一场“心脏出血”(Heartbleed)危机的出现。4月初曝光的Heartblood漏洞潜伏了两年之久，对我们的隐私信息造成了不小的威胁。随后，各大网站纷纷推出相应补丁对网站进行加密。这场席卷整个互联网的安全漏洞至今令人心有余悸，我们不禁想问，应当如何预防类似的事情再次发生？ 资料图
大量开源项目筹资难 运营情况不容乐观
众所周知，本次漏洞涉及OpenSSL的开源软件包，使用这种被认为是相当安全的传输方法保护用户密码等数据的网站数量“难以置信”的多。但是更加令人感到难以置信的是，事实上，整个OpenSSL的运营团队仅有4名开发者，而且其中只有一名开发者是全职。很显然，人手紧缺使得该团队测试、检测和维护该项目代码的时间非常有限。
更糟糕的是，这一问题并不仅仅出现在OpenSSL项目。尽管一些大型开源项目，比如Linux操作系统、Apach网页服务器以及火狐浏览器等收到了大量的资助和各方支持，但是大量的小型项目却很少得到资助和关注，即使它们非常重要。
众多巨头共同筹资 促进业界健康发展 BAIDU_CLB_SLOT_ID = "743390";
不过值得欣喜的是，这种情况可能会从此改变。24日，在谷歌和Facebook等公司的支持下，Linux基金会宣布将会尝试解决这一重大问题，并成立一个名为核心基础设施计划(Core Infrastructure Initiative)的新机构。这一非盈利性组织将为一些互联网上最为重要的项目提供资金支持，使得核心开发者能够在项目上全职工作。而除了资金以外，该机构还将提供安全检查、基础设施检测、差旅费等诸多方面支持。
Linux基金会首席营销官阿曼达•麦弗逊(Amanda McPherson)表示，“经历了Heartblood危机之后，我们不禁自问，这一切是怎么发生的？为了确保这样的情况不再发生，Linux基金会要扮演一个什么样的角色？我们决定做我们一直对在做的事，即从业界筹钱直接资助开发者，以让他们安心将自己的事做到最好。”
这一计划的支持者可谓巨头云集，包括谷歌、Facebook、亚马逊、思科、戴尔、富士通、IBM、英特尔、Rackspace以及微软等。麦弗逊表示目前已经从这些支持商家处筹到360万美元(约合人民币2251万元)资金，而随着更多厂商的加入，预计筹集资金数额还将继续增加。这笔资金将由Linux基金会管理，支持厂商以及Linux基金会的利益相关者将组成管理委员会和咨询部，选择对哪些项目进行资助。据悉，OpenSSL是该组织考虑资助的首个项目，不过其他项目的资助计划也在筹备中。
Linux基金会是一个非营利性组织，由100多家涉及Linux操作系统的企业成员组成，包括英特尔、IBM和惠普等，目的在于协调和推动Linux系统的发展，以及宣传、保护和规范Linux。此外，该基金会还向 Linux 内核发明人林纳斯•托瓦兹(Linus Torvalds)等核心开发者提供资助。
项目虽小作用重大 筹资难原因值得深思
尽管这一进步非常值得庆贺，但是真正值得我们深思的是，为什么像OpenSSL这样的项目很难得到资助？部分原因是许多开源应用的代码库是由许多不同的团队开发，这意味着很难将资金公平、合理地资助到每一个团队的每一位成员头上。此外，人们看得到操作系统、看得到浏览器，却看不到在背后默默付出的加密库，这可能也是 OpenSSL项目不受重视的原因之一。
不过，即使一些开源项目名气很响，有时也面临着筹集不到资金的尴尬处境。比如广泛用于防火墙等诸多商业产品中、号称“世界上最安全的操作系统”的OpenBSD，去年就由于缺乏资金几乎被迫关闭。
当然，也许资助人可能认为这些项目不够吸引人。但是不管这些项目怎么“平淡无奇”，它们都对互联网的正常运行起着至关重要的作用。幸运的是，经历了这一次风波，Linux基金会、谷歌、Facebook、亚马逊等业界巨头意识到了这一点。从这个角度看，也许这次席卷整个互联网界的危机对业界的健康发展，反倒起了不可磨灭的贡献。(实习编译：房磊 审稿：陈薇)