让全球2/3网站“心脏滴血”后，OpenSSL 经历了什么

如果把 OpenSSL 的 Heartbleed （心脏滴血

SSL（安全套接层）协议是使用最为普遍的网站加密技术，而 OpenSSL 则是开源的 SSL 套件，为全球成千上万的 web 服务器所使用。这个严重漏洞出现后，全球三分之二的网站可被攻击，这种攻击还是“敞开了门，可以随意掠夺信息”的那种。

2014 年 4 月 9 日，该漏洞被曝光后， OpenSSL 背后的团队才被媒体争相报道，他们的故事逐渐为人所知。2015年，锤子科技罗永浩宣布对 OpenSSL 捐款200万元，某媒体发表一篇以 OpenSSL 为主角的《隐形战友》后， OpenSSL “火”了。随之而来的，是另一位知名人士对该文章的反对——《到底谁在捍卫我们的隐私？OpenSSL的真实故事》。

争论的角度集中在这几个方面：

1. OpenSSL 真的有这么英雄主义吗？

2. OpenSSL 真的有这么穷吗？之前少有人给他们捐款吗？

3.真实的 OpenSSL到底是什么样子？

OpenSSL创始人之一，美国国防部前顾问 Steve Marquess（也就是《隐形战友》中的史蒂夫）、OpenSSL前身SSLeay创建者，OpenSSL创始人之一 Tim Hudson 和

杨洋（左一）、 Tim Hudson（左二）、Steve Marquess（右一）

OpenSSL 的真实故事应该由他们自己来说。

--

“心脏滴血”后 OpenSSL 发生了什么

Steve 一行人此前从没有来过中国。

这个星期里，Steve 和 OpenSSL 其他 4 名核心成员还陆续参观了阿里巴巴、百度、腾讯、华为、锤子科技等，最后一站他们来到了好队友杨洋所在的白山云科技。

华为和锤子科技确实是中国两家对 OpenSSL 捐款最多的公司，Steve 在白山云科技的这场活动中，先对两家公司表示了感谢。

“我们收到的来自中国的资助要比其他任何一个国家都多。”Steve说。

现在 OpenSSL 日子已经过得好多了，相比三年前只有两个全职员工，他们现在有个 4 名全职员工，其中两个全职人员这次也来到了中国。

“‘心脏出血’Steve 这样表述了“心脏滴血”漏洞发生的原因。

虽然，在《到底谁在捍卫我们的隐私？OpenSSL 的真实故事》中，作者这样写道：

在那三天里，OpenSSL 到底发生了什么？

Tim 称：“据我所知，心脏滴血事件是由两个团队互不知情的情况下独立发现的。我只对我们所作出的反应负责，对其他公司没办法负责。当时这个漏洞是非常严重的危险级别，我们所采取的措施也是当时认为合理的措施。整个过程中谁做了什么、谁发现了什么漏洞，这都是公开的，可以在我们的网站上查得到。”

出了这么大的事情，Steve说，对于一个人手有限的团队来讲日子确实不好过。一个看上去本来籍籍无名的团队瞬间火了，Steve 的好朋友，甚至连他的牙医都关心地询问：“最近老在电视上看到你，要不要紧？”

那一段时间，OpenSSL 倍感压力，收到了很多批评的声音，他们如履薄冰，担心未来可能重蹈覆辙，但也收到了一些鼓励的反馈。让 Steve 觉得温暖的是，一些他甚至都没听过名字的非洲国家都发来了鼓励的邮件，以前团队不太关注的中国也发来了“令人鼓舞的信息”。

“除了扩展到有 4 个全职员工的团队，一些 OpenSSL 的成员尽管有自己本职工作，但是他们的公司会鼓励他们做一些 OpenSSL 的工作，这些公司以间接的方式给我们提供了支持。我们还收到数百个中国人以及锤子科技、华为这两个中国企业给我们的资助，我们收到中国的资助要比其他任何一个国家都多。” Steve 说。

此后则是 OpenSSL 的复苏。

这个团队经历了重建，从系统上还了之前欠下的技术债。这些技术债是指一些之前没有进行很好的重构与精减的代码，后来又不断加入新代码和功能，OpenSSL 做了梳理和筛减，尽可能让内部结构变得不透明，他们有了新代码库，第一次重要审计也是在这个期间完成。

此前，还有诟病 OpenSSL 团队管理混乱的声音， Steve称，情况得到了改善，现在OpenSSL 有14位 “贡献者”和10位管委会成员，其中有 8 名是身兼两职。

他们现在缺钱吗

OpenSSL 团队成员此次来到中国，是杨洋促成的。

让人难以想象的是，和一个人在线上聊了15年，但从来没有线下见过面是一种怎样的体验。在OpenSSL 团队中，这是十分常见的现象。更让人难以想象的是，OpenSSL 整个团队总共在线下见过三次面。

第一次见面发生在 2014 年德国的一次会议后，那是一种奇妙的体验，十几个OpenSSL 团队的成员走进一间会议室，尽管有些人视频聊天过，但还是见面不相识。

第三次碰面则是这次在中国：属于几个老友的相聚。

杨洋在两三年前与 OpenSSL 团队相识，那时他还在阿里巴巴，与 OpenSSL 的接触属于项目对接，当时他还没有兼职为 OpenSSL 贡献代码。去年底，杨洋加入白山云科技，由于公司允许他异地远程办公，并支持他同时为 OpenSSL 贡献代码，目前这个在家乡沈阳工作的小伙子从上午 10 点到下午 6 点为白山云科技工作，从晚上 8 点到凌晨三点为 OpenSSL 处理相关事宜及贡献开源代码。目前，根据代码量和代码质量排行的 OpenSSL 贡献榜上，杨洋排名全球18位，中国区排名第一位。

这家创业才两年的白山云科技得知杨洋和 OpenSSL 的渊源后，十分支持他的工作，并将本来是杨洋与OpenSSL 的一次私人聚会变成了一次 OpenSSL 的中国行，全力协助 OpenSSL 团队的成员与中国著名互联网公司之间的交流沟通，由于这个团队没人懂中文，杨洋还要全程陪同翻译。

此前，国外也有一些公司支持自己的员工为 OpenSSL 贡献时间和代码，但在中国，像杨洋这样的兼职 OpenSSL 成员并不多，到白山云科技现场支持的还有同为 OpenSSL 安全研究员的 360 CERT&Gear Team 的石磊。

事实上，诚如《到底谁在捍卫我们的隐私？OpenSSL的真实故事》这篇文章所言，并非没有人和公司捐助 OpenSSL ，捐助 OpenSSL 的方式有几种：个人或者公司直接捐款给 OpenSSL 的基金会，通过 Linux 基金会捐款给OpenSSL ，公司或个人贡献开源代码或者员工时间给 OpenSSL ……

不过情况也并非批评者说得那么乐观。 Steve 告诉，除了自家基金会，只有 Linux 的基金会目前对 OpenSSL 捐款，捐款的数额没有传说中那么大，只负担这三年来新增的两位全职人员的全年工资，OpenSSL 尚未得到其他基金会的关注，不过也有一些其他企业和个人的捐款。

“”Steve 说。

Tim 说：

三年前，OpenSSL 确实穷到只有“一点点收入”。

Steve称，OpenSSL 团队有一个极具才华但是一贫如洗的程序员 Stephen Henson，Stephen穷到什么程度？Steve 说，穷到我知道的时候都震惊了。

Steve 和 Stephen 是相识 15 年却依然没有见过面的老友，因为 Stephen 性格独特，是一个非常害羞的人，从来没坐过飞机，甚至连护照都没有。但是， Stephen 却是Steve 认为在工作上最靠得住的人，他从来没有在任何一个项目快结束时迟交过代码。

也因此，Steve 在知道 Stephen 的困境后，Steve 全权帮助 Stephen 承接一些商业项目支撑生活。

此前提到，Steve 是前美国国防部的顾问，拥有良好的声誉，早期 Stephen 只是一个不出名的程序员，为了能让 Stephen 顺利获得这些项目，Steve 只能以自己的名义签下这些项目，让 Stephen 全程完成。有时，Stephen 一整年的收入都从Steve 这里获得。在两人没有签订任何协议下，一个以自己的信誉作担保，一个完全信任对方帮助自己处理财务上的事情，这种默契维持了很多年。

真实的 OpenSSL

Steve 读到《隐形战友》这篇文章的翻译版时，已经是文章发表的半年后了。对于文章所呈现出的“英雄主义”色彩，Steve 称，确实夸张了。

有意思的是，当时 Steve 还把文章发给了杨洋，两人一起讨论文章中言过其实的一些细节。

不可否认的是，这篇文章发布后，OpenSSL 收到了一些不错的反馈，一些来自中国的邮件和捐款找了上来。

编辑没有问 Steve 等人成立 OpenSSL 的动机。因为他在演讲中已经提到，如果要加入 OpenSSL，绝不是因为钱，如果要坚持下来，一定要有过硬的 C 语言编程技能、恒心以及兴趣。

“”Steve 说。

杨洋则称，自己做这件事情“just for fun”，就跟大家喜欢听音乐、看电影一样。

关于 OpenSSL 和 Steve ，事实上也有一些传闻和误解。

Steve 称，他的工作是一个自由职业咨询顾问，所做的事情就是服务各行各业的客户，从一个项目到另外一个项目，做了 40 多年。此前，还有传言称他要接触军火交易。事实上，他本人并没有进行过军火交易，比如枪、导弹。之所以有这种传闻，是因为此前美国政府有一个规定，密码或者加密系统被视为武器，所以与军方有过一次合作项目的 Steve 必须申请武器方面的从业执照。

Steve 加入OpenSSL 时，这还是一个默默无闻的组织，他澄清，自己并没有那么强烈的英雄主义情结，这个默默无闻的组织起初也并未让他获得所谓“英雄”的感觉。但在“心脏滴血”事件后，加入 OpenSSL 才可能会有这个效应。

OpenSSL 可能只有一些小小的心愿。

“有时我们会做一些调整， 最后被证明对 OpenSSL 社区是有益的。此外，我们会不断对补丁进行维护，随着版本发布进行更新，让用户受益。因此，大家觉得有必要出于自己目的来修改 OpenSSL 的话，也许我们也能够听到大家的声音，即使微小调整也许会适应庞大的需求。”Steve 说。