免费看在线a黄视频|99爽99操日韩毛片儿|91停婷在线无码观看|日韩三级片小视频|一级黄片免费播放|欧美成人视频网站导航|亚洲日韩欧美七区|国产视频在线观看91|人成视频免费在线播放|国产精品成人在线免费观看

鈦媒體注：“心臟出血”這個(gè)OpenSSL嚴(yán)重漏洞，從2014年4月初被公眾知道，到現(xiàn)在已有將近一年了，這件事已經(jīng)算告一段落。（詳見鈦媒體文章《詳解OpenSSL重大漏洞：誰會(huì)受影響？如何解決？》）而前兩天某網(wǎng)站發(fā)布的一篇關(guān)于OpenSSL和開源項(xiàng)目的文章《隱形戰(zhàn)友》，不僅明顯是炒冷飯，甚至充滿了硬傷、誤解和企業(yè)宣傳。以下是鈦媒體編輯從文章中摘取的幾段文字，朋友們先感受一下：

十五年來，OpenSSL每年得到的捐款收入始終徘徊在可憐巴巴的兩千美金。說出去大概沒人會(huì)信，但這個(gè)保障了半個(gè)互聯(lián)網(wǎng)安全的密碼庫項(xiàng)目實(shí)際上只雇得起兩個(gè)全職員工，兩人都叫史蒂夫，跟美國(guó)隊(duì)長(zhǎng)重名。

……

“心臟出血”爆發(fā)后，不少人爭(zhēng)相跟OpenSSL劃清界限?；鶎映绦騿T批評(píng)他們的代碼“令人作嘔”，大公司則比賽著將牽連自身的安全漏洞盡快修復(fù)。而開源宣言《大教堂與集市》（The Cathedral and the Bazaar）的作者更是由此認(rèn)定開源生態(tài)存在亟待解決的本質(zhì)漏洞。

……

太平洋這頭，羅永浩忿忿不平。多年以來人們往他身上貼的標(biāo)簽，除了“胖子”，就是“理想主義者”?？墒沁@回，他終于發(fā)現(xiàn)比他還要理想主義的OpenSSL?！拔衣犝f該機(jī)構(gòu)最初的幾名工程師放棄了高薪的工作，而投身于這樣一項(xiàng)公益事業(yè)，來維護(hù)互聯(lián)網(wǎng)的安全?！绷_永浩說，“這符合中國(guó)人所說的‘俠義精神’，這些人的內(nèi)心一定有理想主義的支撐。這是我所欣賞的?！?span style>于是，離錘子科技發(fā)出第一封郵件還不到十天，史蒂夫·馬奎斯就收到了百萬元捐款——OpenSSL基金會(huì)有史以來最大的單筆收入。

 

——李魚《隱形戰(zhàn)友》

開源軟件、安全、隱私確實(shí)是大部分普通用戶不了解的領(lǐng)域，然而真相并不是如此。所以鈦媒體作者霍炬寫下這篇文章，讓公眾對(duì)歷史有個(gè)基本了解，以下是全文，經(jīng)鈦媒體編輯：

我想聊聊開源軟件的模式和OpenSSL存在的問題，以及到底誰在捍衛(wèi)我們的隱私，這些都是界面的文章弄錯(cuò)的地方。我也會(huì)寫到在“心臟出血“這個(gè)漏洞從發(fā)現(xiàn)到公布的過程中，驚心動(dòng)魄和爭(zhēng)分奪秒的故事，這個(gè)過程暴露出OpenSSL嚴(yán)重的管理問題。先從開源說起。

開源是一種商業(yè)模式

開源組織并不是沒有捐款就不能生存，開源和免費(fèi)一樣，是一種商業(yè)模式。開源軟件的世界是激烈競(jìng)爭(zhēng)的，任何一個(gè)組織，都可以從當(dāng)前代碼分支一份繼續(xù)開發(fā)新的版本，這個(gè)行為叫做Fork。一個(gè)開源組織要想生存下去，最重要的基礎(chǔ)就是普遍被使用，不然很快就會(huì)被競(jìng)爭(zhēng)者替代。一個(gè)軟件被普遍被使用之后，就會(huì)因此衍生出相關(guān)服務(wù)，團(tuán)隊(duì)可以通過這些服務(wù)獲得比較好的收入，商業(yè)模式就成型了。最著名的例子應(yīng)該算是Red Hat Linux，中文叫做“紅帽”，他們免費(fèi)提供Linux發(fā)行版，企業(yè)可以通過付費(fèi)訂閱獲得技術(shù)支持，他們收入相當(dāng)不錯(cuò)，現(xiàn)在已經(jīng)是一家市值100多億美金的上市公司。

OpenSSL采用的也是同樣的開源和服務(wù)收費(fèi)的方式運(yùn)轉(zhuǎn)，OpenSSL基金會(huì)的負(fù)責(zé)人Steve說，他們最多一年有將近100萬美金的商業(yè)咨詢項(xiàng)目(資金來源是美國(guó)國(guó)防部和美國(guó)國(guó)土安全部)，這已經(jīng)是相當(dāng)不錯(cuò)的狀況。開源軟件的全職工作人員都不會(huì)太多，大部分項(xiàng)目的核心貢獻(xiàn)者同時(shí)也都會(huì)承擔(dān)商業(yè)性項(xiàng)目，這是很正常的情況。在開源社區(qū)中，像Linux創(chuàng)始人Linus這樣全職為開源項(xiàng)目工作的程序員，反而不是普遍現(xiàn)象，Linus得以這么做，一方面是Linux基金會(huì)財(cái)力豐厚，另外一方面也是因?yàn)長(zhǎng)inux衍生項(xiàng)目太多，影響力也太大，Linus本身又是精神領(lǐng)袖，他不得不全職為L(zhǎng)inux工作。同時(shí)從事商業(yè)服務(wù)和開源項(xiàng)目，并不是界面那篇文章描述的那么悲情。

再來個(gè)例子，最好的開源UNIX操作系統(tǒng)FreeBSD，其核心開發(fā)者Poul-Henning Kamp(社區(qū)內(nèi)叫他PHK)到今天仍然承擔(dān)商業(yè)性項(xiàng)目。即使從1994年到現(xiàn)在，他的一直在FreeBSD代碼貢獻(xiàn)的排行榜上排第一，也仍然不是FreeBSD基金會(huì)的全職員工，他對(duì)自己的描述是“自雇”。PHK在自己主頁上公開了最近正在做的一個(gè)商業(yè)項(xiàng)目，報(bào)酬每月3000美金。以O(shè)penSSL的項(xiàng)目規(guī)模，有一個(gè)全職開發(fā)者已經(jīng)是相當(dāng)不錯(cuò)的狀況了。

為什么有這么多人會(huì)放棄傳統(tǒng)的賣軟件的方式，轉(zhuǎn)向免費(fèi)軟件和開源軟件?除了個(gè)人興趣和理想之外，開源軟件是一個(gè)成熟可靠的商業(yè)模式，這個(gè)商業(yè)模式有自己的收入方式和生態(tài)。而《隱形戰(zhàn)友》這篇文章極力制造普通互聯(lián)網(wǎng)用戶對(duì)于OpenSSL的愧疚感，指責(zé)普通用戶從來沒付錢給他們，這種一種道德綁架。任何一個(gè)用戶，只要在使用OpenSSL，就是在幫助這個(gè)組織獲得市場(chǎng)份額，在競(jìng)爭(zhēng)中獲得更大優(yōu)勢(shì)，無論有沒有直接捐款給他們，用戶都已經(jīng)做出了貢獻(xiàn)。

華為是唯一算得上曾“資助”過OpenSSL的國(guó)內(nèi)企業(yè)

雖然開源組織可以通過商業(yè)服務(wù)來讓自己生存的不錯(cuò)，但是一般也都很愿意接受捐款。有足夠的捐款，可以少做一些商業(yè)項(xiàng)目，把精力往開源軟件方面傾斜一些，這當(dāng)然是好事。大部分軟件和IT企業(yè)，每年都有不小的一筆錢用來支持開源項(xiàng)目們，同時(shí)也爭(zhēng)取自己在開源社區(qū)的影響力和發(fā)言權(quán)，開源組織們每年接受的捐款按照各自項(xiàng)目狀況，都不算少。但為什么OpenSSL這個(gè)項(xiàng)目每年只能收到幾千美金的捐款呢?答案很簡(jiǎn)單，因?yàn)樗麄儚膩頉]有搞過募捐活動(dòng)。

開源組織通常會(huì)設(shè)立一個(gè)注冊(cè)為非盈利機(jī)構(gòu)的基金會(huì)，通過這個(gè)基金會(huì)募集資金、組織活動(dòng)、推廣自己的開源產(chǎn)品，視項(xiàng)目情況給專職或者兼職開發(fā)者付報(bào)酬，其中募集資金是基金會(huì)相當(dāng)重要的工作。如果經(jīng)常使用維基百科的用戶，應(yīng)該會(huì)有印象。維基百科每年都有一個(gè)固定時(shí)段，會(huì)在網(wǎng)站上放置非常明顯的籌資通告，設(shè)定好本年度預(yù)算目標(biāo)，讓大家捐款。達(dá)到數(shù)額之后，捐款就停止，不再接受更多。幾乎所有開源組織，都會(huì)通過這種方式募集捐贈(zèng)。

OpenSSL基金會(huì)從來沒公開募集過資金，如果沒有捐款目標(biāo)，沒公開募捐，就很難有成批的捐款進(jìn)入，畢竟，需要資金的項(xiàng)目實(shí)在太多了。對(duì)于OpenSSL這種項(xiàng)目，募資相當(dāng)容易，他們只需公開發(fā)一份籌款通知，各大企業(yè)的錢就可以立刻到手。當(dāng)“心臟出血“發(fā)生之后，諸多企業(yè)驚訝的不是只有一個(gè)全職開發(fā)者這件事，而是，為什么你們一直沒籌款。OpenSSL從來沒公布過自己的財(cái)務(wù)狀況，沒有設(shè)置過募款目標(biāo)，這讓人們?nèi)绾稳ゾ杩罱o他?

更有意思的是，OpenSSL基金會(huì)并沒有注冊(cè)為非盈利機(jī)構(gòu)，而是一個(gè)盈利性企業(yè)。捐助OpenSSL的人和企業(yè)無法從美國(guó)政府獲得減稅。按照他們自己的說法，是他們沒有時(shí)間維護(hù)一個(gè)非盈利組織，這不是個(gè)好理由。對(duì)于一個(gè)開源項(xiàng)目，注冊(cè)一個(gè)非盈利組織比注冊(cè)公司難不了多少，再說，基金會(huì)之所以成立，不就是為了去做這些事嗎?盈利性企業(yè)已經(jīng)定義了他們是希望靠商業(yè)活動(dòng)獲得收入，而不是靠捐款生存。捐款給盈利性企業(yè)，錢的利用率就會(huì)變低很多，按照美國(guó)稅法粗算，最多的情況下要多交出30%~40%的稅，是巨大的浪費(fèi)。這也解釋了為什么美國(guó)企業(yè)很少捐款給OpenSSL基金會(huì)。

不過，就算如此，事情也是在快速好轉(zhuǎn)的。“心臟出血“事件之后，Linux基金會(huì)在極短的時(shí)間內(nèi)就成立了核心基礎(chǔ)架構(gòu)聯(lián)盟(CII, Core Infrastructure Initiative)，主動(dòng)挑選缺乏資金的重要開源項(xiàng)目進(jìn)行資助，無論對(duì)方是否募款，OpenSSL是他們資助的第一個(gè)項(xiàng)目。這個(gè)聯(lián)盟集結(jié)了世界各國(guó)的科技企業(yè)共同出資，其中包括了Google、Amazon、Facebook、思科、富士、惠普、IBM等十多家企業(yè)。其中中國(guó)企業(yè)只有一家，是華為。特別值得一提的是，除了給CII出資，華為也單獨(dú)資助了OpenSSL基金會(huì)每年5萬美金?？上?，界面的文章似乎把華為忘了。參加CII聯(lián)盟的企業(yè)每年出至少10萬美金，按照2014年的數(shù)字，CII每年總共有170萬美金基金可以使用，第一期資金主要用來資助OpenSSL和OpenSSH，資金相當(dāng)富裕。

上面這些事情都發(fā)生在去年5月，也就是“心臟出血“事件之后的一個(gè)多月時(shí)間里。無論是各大科技企業(yè)，還是Linux基金會(huì)，他們的行動(dòng)都非常迅速，這是開源世界的做事方式和效率。到去年5月，OpenSSL的資金問題就算解決了。從這個(gè)結(jié)果看，之前OpenSSL沒有得到足夠捐款的直接原因就是其基金會(huì)失職。

做為對(duì)比，再看看去年OpenBSD募款的經(jīng)歷。OpenBSD是最關(guān)注安全的開源Unix操作系統(tǒng)，他們同時(shí)也是OpenSSH的維護(hù)者(看到SS是不是覺得和加密也有關(guān)系?沒錯(cuò)，這也是一種加密工具，只不過不是給客戶用的，是給服務(wù)器管理者和程序員用的)，去年的募款目標(biāo)僅僅是15萬加幣。相比起來，170萬美金實(shí)在已經(jīng)是太多了，如果CII給的錢不夠讓OpenSSL變好，恐怕再多的錢也不會(huì)好了。

除了直接捐錢，各大企業(yè)支持開源項(xiàng)目的方式還有很多，比如捐獻(xiàn)自己?jiǎn)T工的時(shí)間。任何一個(gè)開源項(xiàng)目中，都有來自各大公司工程師的貢獻(xiàn)，這些公司給自己?jiǎn)T工發(fā)薪水，他們寫的代碼會(huì)回饋給開源項(xiàng)目，比起捐款，這是更直接的支持。比如去年發(fā)現(xiàn)“心臟出血”漏洞的工程師，是Google員工，他在上班時(shí)間全職對(duì)OpenSSL代碼做安全審計(jì)，找到了這個(gè)Bug。他確實(shí)不是OpenSSL基金會(huì)的直接雇員，但這份由Google買單的全職勞動(dòng)成果是貢獻(xiàn)給了OpenSSL項(xiàng)目的，說所有大公司都沒支持過這個(gè)項(xiàng)目，未免太不公平。而這種錯(cuò)誤言論，正是界面文章宣傳的論調(diào)，按照這篇文章的說法，一個(gè)中國(guó)小公司救了全世界互聯(lián)網(wǎng)用戶，這是何等荒唐。

說到這里，再說說捐款問題。我非常反對(duì)《隱形戰(zhàn)友》渲染的這種捐款情緒，這是利用人們的愧疚捐款。錢是非常寶貴的資源，需要用錢的地方太多了，正確的捐款是在捐款者對(duì)項(xiàng)目的充分了解后，基于對(duì)其價(jià)值觀和方向認(rèn)同，按照自己的愿望進(jìn)行長(zhǎng)期而小額的固定捐助。在這個(gè)過程中，稅務(wù)問題也是必須要考慮的，這直接決定了資金利用率，比如美國(guó)稅務(wù)居民，捐贈(zèng)給OpenSSL，資金的利用率就很低，而捐款給CII再由他們資助OpenSSL，就可以得到一部分免稅，利用率高了很多，如果是加拿大稅務(wù)居民，想對(duì)操作系統(tǒng)方面的項(xiàng)目捐款，應(yīng)該首選OpenBSD，因?yàn)樗羌幽么笞?cè)的非盈利組織。捐款是一個(gè)非常理性的行為，隱藏部分信息，利用人們對(duì)開源項(xiàng)目的不了解，煽情，制造愧疚感，這是不可持續(xù)的，也是不公平的，這些都是界面的文章和之后的運(yùn)營(yíng)所做的事情。

OpenSSL的問題和未來

《隱形戰(zhàn)士》中說基層程序員批評(píng)他們的代碼“令人作嘔”，實(shí)際上，說這句話的人是Theo de Raadt，是OpenBSD項(xiàng)目的創(chuàng)始人，他可不是“基層程序員”，而是操作系統(tǒng)領(lǐng)域最好的計(jì)算機(jī)科學(xué)家之一。OpenBSD開發(fā)者們并沒止步于批評(píng)，而是立刻決定從當(dāng)前OpenSSL版本創(chuàng)建一個(gè)叫做LibreSSL的獨(dú)立項(xiàng)目，從清理OpenSSL的代碼重新開始。他們?cè)诘谝恢芫蛣h除了9萬多行代碼，OpenSSL整個(gè)項(xiàng)目只有38萬行，相當(dāng)于刪減了近1/4的代碼?？梢奣heo的批評(píng)并不是順口胡說。幾年來，OpenSSL出過各種漏洞，在“心臟出血“之后，仍然有隱藏了10年以上的漏洞被發(fā)現(xiàn)，很多熟悉這個(gè)項(xiàng)目的人看法都是“除了重寫別無辦法”。

OpenBSD有一份文檔說明了他們?cè)谇謇磉^程中遇到的問題，去掉其中的技術(shù)細(xì)節(jié)，我把主要觀點(diǎn)列在這里，這些也基本是業(yè)內(nèi)主流看法：

OpenSSL的代碼混亂不堪，難以閱讀。開源軟件一般通過讓更多人看到代碼來發(fā)現(xiàn)bug，如果代碼難以閱讀，這個(gè)辦法就失效了。

他們使用了大量自己的代碼封裝和編程風(fēng)格，這些代碼有的有bug，有的不符合現(xiàn)代主流做法。這讓常見的檢測(cè)工具沒法應(yīng)用于他們的項(xiàng)目，更難以發(fā)現(xiàn)Bug。

他們的開發(fā)者更關(guān)心增加功能，而不是維護(hù)和修補(bǔ)。

其他開發(fā)者提供的修改和貢獻(xiàn)，一般不會(huì)被合并到最終代碼里。

很多用戶指出的Bug，包括一些相當(dāng)嚴(yán)重的，公開放在追蹤系統(tǒng)里面長(zhǎng)達(dá)幾年，沒被修補(bǔ)。

其中存留了大量無用的舊代碼，比如給windows 2000之前的16位系統(tǒng)寫的兼容代碼，仍然包含在最新版本的OpenSSL中。

基于以上原因，OpenBSD認(rèn)為這個(gè)項(xiàng)目已經(jīng)沒法維護(hù)了，必須要重新開始。這就是他們創(chuàng)建一個(gè)分支，從清理代碼這種基礎(chǔ)工作開始的原因?？梢?，這個(gè)項(xiàng)目根本不是錢的問題，而是管理方式和社區(qū)文化有問題。比起來其他項(xiàng)目，他們?cè)谟幸粋€(gè)全職開發(fā)者和一個(gè)全職基金會(huì)主席的情況下還能響應(yīng)如此緩慢，實(shí)在更令人沮喪。順便說一句，做清理代碼這件事的OpenBSD開發(fā)者，也不是全職工作，他還在這份文檔前面特別注明了“可以被雇傭”。一年之后的今天，LibreSSL已經(jīng)基本算可用了，除了清理和改變了原有代碼風(fēng)格，他們也增加了一些更先進(jìn)的特性，看起來很有前途。另外，這個(gè)項(xiàng)目也很需要捐款，如果更認(rèn)同他們的做法，可以捐款給他們。

除此之外，OpenSSL公布“心臟出血“漏洞的過程也非常有問題。一般出現(xiàn)嚴(yán)重漏洞的流程，是先不對(duì)公眾公布，立即通知主流操作系統(tǒng)維護(hù)者和相關(guān)廠商，讓大家先修改，之后一起發(fā)布安全公告和升級(jí)。之所以這樣做，是因?yàn)槿绻僮飨到y(tǒng)不去打補(bǔ)丁，很多普通用戶知道漏洞也沒辦法修補(bǔ)，反而讓黑客們更容易利用這些漏洞。

OpenSSL不是這么做的，在Google告知了他們漏洞之后，OpenSSL沒有告知任何一家操作系統(tǒng)廠商，反而奇怪的被幾家主要CDN廠商知道了，也就是說，在不知道哪個(gè)環(huán)節(jié)發(fā)生了泄密。之后開源社區(qū)中開始有關(guān)于這個(gè)重大Bug的傳言，直到這個(gè)時(shí)候，幾大操作系統(tǒng)仍然沒得到正式通知。又過了3天，OpenSSL才告知了Red Hat，當(dāng)天，參與處理這件事的一位Red Hat員工在一個(gè)私密郵件組里面把這個(gè)消息分享給了SuSE/Debian/FreeBSD等幾個(gè)重要操作系統(tǒng)相關(guān)負(fù)責(zé)人。多虧了他，因?yàn)榇藭r(shí)OpenSSL仍然表示沒有任何細(xì)節(jié)提供，這是加州灣區(qū)的太平洋時(shí)間4月6日晚上，從Red Hat得到具體細(xì)節(jié)的幾大操作系統(tǒng)，連夜開始忙著打補(bǔ)丁，到這個(gè)時(shí)候，Red Hat提供的消息是OpenSSL將在9號(hào)，也就是3天之后公開這個(gè)漏洞?？上?，轉(zhuǎn)天，4月7日一大早，OpenSSL就直接發(fā)布了公告，媒體們知道了，全世界都知道了。如果沒有Red Hat提前放的消息，最后的影響恐怕還會(huì)大的多，就算如此，因?yàn)闀r(shí)差的原因(Red Hat那位員工在印度)，很多在他夜里睡覺之后的郵件沒來得及回復(fù)，仍然有很多廠商沒能提前得知細(xì)節(jié)。關(guān)鍵廠商對(duì)于如此重大的漏洞比媒體知道消息還晚，近年來恐怕這是第一次。

這造成了不少損失，比如加拿大國(guó)稅局CRA在漏洞被公開之后發(fā)現(xiàn)數(shù)據(jù)被盜，此時(shí)已經(jīng)來不及打補(bǔ)丁了，所以干脆直接把電子報(bào)稅系統(tǒng)關(guān)掉了，當(dāng)時(shí)是4月9號(hào)，加拿大2014年的報(bào)稅截至日期是4月30日，正是電子報(bào)稅系統(tǒng)最繁忙的日子，其間的尷尬可想而知。

針對(duì)這個(gè)反常的流程，社區(qū)中有不少陰謀論的看法，我不轉(zhuǎn)述這些看法，我只是想說，這是另外一個(gè)證據(jù)證明OpenSSL有嚴(yán)重的管理問題，而不是錢的問題，人們說他們把事情做的一團(tuán)混亂絕對(duì)不是沒理由的指責(zé)。

另外，OpenSSL并不是憑空出現(xiàn)的項(xiàng)目，而是繼承了另一個(gè)項(xiàng)目SSLeay的代碼。在SSLeay的開發(fā)者去RSA公司工作，不能繼續(xù)這個(gè)開源項(xiàng)目之后，有好幾個(gè)項(xiàng)目繼承了它的代碼繼續(xù)開發(fā)，OpenSSL只是其中比較成功的一個(gè)。這也是我不贊成吹捧OpenSSL的原因，歷史的選擇往往存在偶然，具體到SSL軟件上，就更復(fù)雜，這是混合了技術(shù)，商業(yè)，歷史，政治復(fù)雜因素之后的偶然結(jié)果?，F(xiàn)在OpenSSL暫時(shí)有最多的用戶，以后則未必會(huì)如此，我相信，早晚會(huì)有一個(gè)新的替代者出現(xiàn)。

EFF才是真正的人類隱私捍衛(wèi)者

《隱形戰(zhàn)士》認(rèn)為OpenSSL是人類隱私的捍衛(wèi)者，事實(shí)上，OpenSSL只是同類加密軟件中的一個(gè)，他們當(dāng)不起隱私捍衛(wèi)者這個(gè)頭銜。今天，我們可以不知不覺獲得加密軟件的保護(hù)，背后有一些曲折的故事，那是真正的隱私捍衛(wèi)者的故事。

曾經(jīng)，加密技術(shù)是被美國(guó)政府禁止出口的，就像很多武器禁止出口一樣，其他國(guó)家的人，想要使用這些加密算法，就像要從美國(guó)買導(dǎo)彈一樣，是不可能的。轉(zhuǎn)機(jī)發(fā)生在1995年，這一年，加州伯克利大學(xué)的研究生Bernstein在一個(gè)叫做電子前線基金會(huì)的律師幫助下，起訴美國(guó)政府。他的主張是自由發(fā)表加密算法，屬于言論自由的一部分，從而受美國(guó)憲法第一修正案保護(hù)，史稱 Bernstein v. United States。這個(gè)案子進(jìn)行了4年，到1999年，美國(guó)聯(lián)邦第九巡回上訴法院出了判決，依據(jù)第一修正案，判決美國(guó)政府禁止公開密碼算法違憲。在這之后，各種密碼協(xié)議和開源算法才從美國(guó)流傳出來，被自由使用。

電子前線基金會(huì)EFF(Electronic Frontier Foundation)，創(chuàng)建于1990年，是一個(gè)法律援助組織，他們的使命是捍衛(wèi)隱私，自由表達(dá)和公民權(quán)利。這也是一個(gè)基金會(huì)，而且是一個(gè)完全靠捐款運(yùn)作的非盈利組織。EFF創(chuàng)始人之一是Lotus公司創(chuàng)始人卡普爾，曾經(jīng)是和比爾蓋茨齊名的軟件天才。80年代，Lotus是最大的獨(dú)立軟件公司，幾年之后微軟才超過它。卡普爾是一個(gè)極具前瞻精神的奇才，1990年，卡普爾意識(shí)到未來技術(shù)、隱私、法律和政治的沖突，自己出資創(chuàng)建了EFF，后來的資助者中還有著名的蘋果聯(lián)合創(chuàng)始人沃茲。當(dāng)時(shí)，商業(yè)互聯(lián)網(wǎng)尚未成型，可見他們前瞻性之強(qiáng)。關(guān)于EFF的傳奇故事可以寫很多篇文章，這里我們先說和OpenSSL有關(guān)的部分。

曾經(jīng)瀏覽器的領(lǐng)導(dǎo)者Netscape，于1995年開發(fā)了第一個(gè)SSL協(xié)議。SSLeay也在1995年完成了第一個(gè)實(shí)現(xiàn)，1998年SSLeay中止開發(fā)，由社區(qū)接手。直到1999年美國(guó)政府?dāng)≡V，加密技術(shù)終于可以自由流通。這才是人類隱私保護(hù)工程的歷史脈絡(luò)。在這個(gè)復(fù)雜的故事里面，OpenSSL是受益者之一，也是整個(gè)故事中的一小段，界面的文章把OpenSSL開發(fā)者捧為人類隱私的捍衛(wèi)者，不僅過譽(yù)，而且顯得非常無知。

EFF及其創(chuàng)始人卡普爾，是真正的理想主義者，他們沒有商業(yè)收入，自己掏錢，做這一件事做了25年之久，通過一個(gè)又一個(gè)的訴訟案和對(duì)隱私相關(guān)案件的法律援助，他們成功推動(dòng)了社會(huì)進(jìn)步。這才是互聯(lián)網(wǎng)時(shí)代真正的隱私的捍衛(wèi)者。

媒體的責(zé)任

有朋友說，寫寫文章，讓大家捐點(diǎn)錢，怎么也不會(huì)有害，不應(yīng)該被批評(píng)。我不這么認(rèn)為。媒體傳播是可以影響人群選擇的。界面文章中說，

如果一個(gè)開源項(xiàng)目在商業(yè)世界獲得了成功，那決不會(huì)是出于僥幸，決不會(huì)(此處錯(cuò)別字為原文引用)是因?yàn)槠渌?jìng)爭(zhēng)者恰好被規(guī)章制度所累、被知識(shí)產(chǎn)權(quán)法約束。

BSD的歷史正好是一個(gè)反例。作為最正宗的UNIX繼承者，BSD應(yīng)用廣泛程度至今不及Linux，媒體在這個(gè)過程中起了相當(dāng)重要的作用。直到今天，談起開源軟件，媒體都更關(guān)注Linux，質(zhì)量更可靠的BSD缺少關(guān)注，從而影響了人們的選擇。

互聯(lián)網(wǎng)的安全，不取決于一個(gè)特定的軟件，即使這個(gè)軟件是用來加密的。發(fā)現(xiàn)“心臟出血“漏洞的Google員工Mehta說過，libjpeg如果出問題，可能會(huì)有極大影響。libjpeg用來生成和顯示大部分網(wǎng)站和軟件的圖片，被普通人用到的范圍比OpenSSL更廣，威脅也會(huì)更嚴(yán)重。當(dāng)人們被媒體把關(guān)注轉(zhuǎn)向OpenSSL上時(shí)，大量更重要的問題就會(huì)缺少關(guān)注。希望能有更多人關(guān)注更多的基礎(chǔ)項(xiàng)目，而不是和汶川地震一樣，盯著看各大企業(yè)誰給OpenSSL捐款更多。一年了，炒作也應(yīng)該結(jié)束了。

《隱形戰(zhàn)友》對(duì)華為、諾基亞，Google這樣出錢出力，沒自我炒作的廠商不公平，對(duì)于其他開源組織也不公平。編輯人員的嚴(yán)謹(jǐn)程度還不如我這種完全靠個(gè)人愛好寫作的非專業(yè)人員。雖然不嚴(yán)謹(jǐn)，但他們的煽情技巧確實(shí)是出色而專業(yè)的，這篇文章被很多人稱為精彩，這令人失望，也非常遺憾。

【鈦媒體作者介紹：霍炬，微信公眾賬號(hào)“歪理邪說”(wxieshuo)】