V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
turing
V2EX  ›  程序员

不得不说,老罗做了件好事儿。

  •  2
     
  •   turing ·
    guo-yu · 2015-02-02 16:00:53 +08:00 · 19902 次点击
    这是一个创建于 3590 天前的主题,其中的信息可能已经有所发展或是发生改变。
    137 条回复    2015-02-06 19:21:11 +08:00
    1  2  
    m_z
        101
    m_z  
       2015-02-03 09:21:34 +08:00
    "他总是忍不住好心提醒记者,某些邮箱后缀逼格太低,最好换掉。"
    m_z
        102
    m_z  
       2015-02-03 09:22:21 +08:00
    “他总是忍不住好心提醒记者,某些邮箱后缀逼格太低,最好换掉。”看到这个我想到了xx
    robinshi2010
        103
    robinshi2010  
       2015-02-03 10:18:44 +08:00
    不管怎么说是件好事吧。虽然我不买锤子手机。
    loryyang
        104
    loryyang  
       2015-02-03 10:29:44 +08:00
    捐赠要点赞,确实一般企业家做不出来,手机继续观望
    vietor
        105
    vietor  
       2015-02-03 11:11:19 +08:00
    @Havee 事情出了之后,即便是 “罗X” 不捐,别人开始在捐了。而“罗X”仅仅是高调为“锤子手机”做“外围”宣传。如果这样的事情,被“部分人”所吹捧,去买哪个“破(的确只能用破这个字眼)手机”的话,很快让人们在这方面的热情“冷”下来。 “罗X” 仅仅是一种“营销”却又被“吹”成了“情怀”,咳。
    Bob_Huang
        106
    Bob_Huang  
       2015-02-03 11:26:45 +08:00
    @vietor 看来楼上仇口好X大
    misink
        107
    misink  
       2015-02-03 12:28:45 +08:00   ❤️ 2
    锤子也太会投机取巧
    锤子系统基于CM,罗永浩发布会上只是提了下,后期宣传还有影子吗
    没有CM就不会有现在的锤子,CM也是开源的,虽然是商业团队在运营。锤子给人家赞助了吗?
    OpenSSL这东西最好讲故事,所以罗永浩拿出来说事。「正确的事」有的是,锤子最喜欢挑好看的挂在外面,把理想主义的大旗摇得呼呼作响。
    理想主义者管这种人叫,投机主义者。
    dingyaguang117
        108
    dingyaguang117  
       2015-02-03 12:31:01 +08:00   ❤️ 1
    已捐
    joeytat
        109
    joeytat  
       2015-02-03 12:59:43 +08:00   ❤️ 6
    @misink 营销,投机。可是,对于 OpenSSL 团队来说,你又为他们做了什么呢? 善事论心不论行,论行寒门无孝子;恶事论迹不论心,论心世上无好人。
    chen495810242
        110
    chen495810242  
       2015-02-03 13:02:20 +08:00
    看了大部分评论,先说声对不起,在说一句反人类的话。
    有利益才有冲突,大量的捐款会不会毁了项目原本的纯粹性?会不会导致分配不均而勾心斗角?最后会不会是个悲剧?
    我希望不是,但是历史往往不是多数人希望的那样。

    喷-请-轻,谢谢
    Seikinmeid
        111
    Seikinmeid  
       2015-02-03 13:10:58 +08:00
    @misink 文章里提到,捐赠openssl的原因中也有提到 “或者是从事件的传播性以及对科技公司品牌形象的提升效果上考虑,他们都是我们观察范围内最应该被捐助的。” 老罗也从来不否认这也是为了公司形象和宣传啊。

    在考虑捐赠对象的时候,一个不缺钱的组织和一个很缺钱的组织,你说钱给谁?并且捐赠给openssl还能有更好的宣传效果,这种对公司好对openssl也好的事情为什么不做?你觉得投机?锤子科技这么做伤害谁了么?我恶心的猜测下,难道是他们这么做多少否定了你之前一直黑锤子的“正当性”?
    benjiam
        112
    benjiam  
       2015-02-03 13:17:23 +08:00 via Android
    做了好事不假,博了名声也不假。说句沽名钓誉一点不错。出了bug以前,几个圈外的知道OpenSSL,OpenSSL和锤子手机有什么项目使用关系吗?在捐赠OpenSSL以前锤子还捐赠过其他相关项目吗?多少钱?如果锤子从成立开始每年捐1000块给OpenSSL,那么远比这次捐100万来得伟大。所以这就是一次炒作。
    ming
        113
    ming  
       2015-02-03 13:20:23 +08:00   ❤️ 2
    @vietor 真讨厌你们这些伪君子,别人捐钱你们都骂。在网上永远一副清高的道德楷模形象,别人捐钱让你知道了就是营销,公开宣布就是高调。
    妈个鸡你们哪儿他妈来的资格骂?动你的钱了吗?政府一年糟蹋那么多你出了一份的钱你怎么不敢吱声呢?
    老罗本来就说了这是他的营销。一个企业的行为,当然是以企业利益出发的,这是天经地义的事情,如果企业利益可以和公共利益结合,已经谢天谢地的好事了。老罗每一次演讲的钱都捐了,捐钱还被骂,简直是你国一大特色,前有潘石屹捐钱给哈佛后有老罗捐给OpenSSL。
    话又说回来,在网上一副道德楷模的样子,我问问您,你自己捐过多少钱?电脑上的软件都是正版吗?
    道德从来律己,法律才来律人。
    做了好事还被骂,这世界会变得越来越好吗?
    vietor
        114
    vietor  
       2015-02-03 13:43:10 +08:00
    @ming 捐钱却又到处“宣传”的,才算得上“伪君子”吧,甚至写了N多的“软文”,我看算是“伪到家”了。

    此外,我从没表现出来“一副清高的道德楷模形象”呀,别随意给别人“扣帽子”。

    “做了好事还被骂”——这种不知所终的言论,咳,“不问原因,只看表象”的做法才会让世界“越来越不好”吧?
    再者“给OpenSSL”捐钱就算做好事了?那么多次品“手机”拿首批用户“当小白鼠”,“情怀降价”之类的,是不是学“极路由”一样要“刨腹”呀?

    呵呵,我看“阁下”别拿“自己的虚伪”去度量别人,别人又不是傻子,不会让你嚷嚷两句“情怀”就不问“是非”的。
    Heracles
        115
    Heracles  
       2015-02-03 14:04:51 +08:00
    @misink CM又不缺钱,更不缺人
    nowit
        116
    nowit  
       2015-02-03 14:07:43 +08:00
    @罗永浩 买了白锤,周末可以收到,算是对老罗一种支持吧!
    Seikinmeid
        117
    Seikinmeid  
       2015-02-03 14:11:54 +08:00
    @vietor

    “再者“给OpenSSL”捐钱就算做好事了?”
    不是好事?

    “那么多次品“手机”拿首批用户“当小白鼠””
    所以那些拿到次品的用户,手机没有呗妥当处理?就让他烂在手上?

    所以说到底,老罗他怎么伤害你了?
    sdysj
        118
    sdysj  
       2015-02-03 14:23:58 +08:00
    哈哈,这次喷的是怎么隔了那么久还炒起来呢?还以感动中国式的文风炒,挺恶心的,正义感满满的正能量分子在天朝是主流思想啊,咱们屌丝心态作祟只能喷下刷存在感了。。。
    armoni
        119
    armoni  
       2015-02-03 14:25:14 +08:00
    @vietor 1.捐钱然后宣传的怎么就伪君子了,企业做好事收益了自然有更多的企业跟风形成良性循环;
    2.给OpenSSL捐钱当然算好事,OpenSSL强大了,互联网就更安全了,从商业网站到非营利性网站,经济、社会效益大大的;
    3.我没买过锤子手机也不是锤粉,产品买卖都能说当用户当小白鼠,哪怕买到次品您不是还可以退货吗;
    4.“做了好事还被骂”,言论自由。
    seiwev
        120
    seiwev  
       2015-02-03 14:28:31 +08:00
    捐钱又到处宣传的,不算伪君子。

    不捐钱又到处说的,才算得上伪君子。
    ming
        121
    ming  
       2015-02-03 14:37:32 +08:00
    @vietor
    1,做好事还宣传当然不是伪君子,是好事情,在美国捐钱是可以抵税的是有现实的回报的(老罗捐的这笔钱就无法抵税),关于做好事的问题,建议你了解一下“子贡赎人”。
    2,你当然表现出了,请您自己看一下自己的答案。
    3,处于私心就不是好事的这个论点不知道您怎么能拿得出手。有罪推论当然让世界变得越来越不好。推而及之,您这种观点就在消减世界的美好。
    4,当然算做好事。商业上的其他行为不再本次讨论范围内,我认为您在此处将其连带进来是试图掩饰本身观点的薄弱和难以自圆其说。
    5,我在观点上和您讨论,您却给我扣上“虚伪”的帽子,这会可是犯下您自己之前说的:别随意给别人“扣帽子”。
    6,既然说到“是非”,难不成您认为老罗做的这个事情是一件错事,说顶天了就是过度宣传。在“是非”上有什么问题还请赐教?
    ioth
        122
    ioth  
       2015-02-03 15:33:09 +08:00
    @zhangdawei 不能同意更多。
    misink
        123
    misink  
       2015-02-03 15:40:59 +08:00
    是嘛,那缺钱的公益组织多了去了,挑OpenSSL足够作秀吧。维基之前也有捐款的广告,我捐了十刀,这种算是缺钱吧?老罗捐了吗?
    对于自己系统的基础不闻不问,然后在一个关注热点上大肆宣传,这一手和陈光标一模一样。
    这就是所谓的理想主义?别糟践这个词了好么。
    vietor
        124
    vietor  
       2015-02-03 16:33:05 +08:00
    @Seikinmeid 没有交集,没买过和他相关的任何东西。我实际上没怎么关注过他,直到被“方舟子”揭个底掉,才算是初步“听说”了。

    @armoni “罗X”这个人呢,把“捐款给开源社区”这个事情给,玩“歪”了。“好事”变成了“闹剧”——居然还“软文连连”的搞续集。擦,如果一个社区最终也变成这样,迟早完蛋。

    @ming 怎么说呢,别人说“罗X”你就给洗地,什么“顶天了就是过度宣传”,咳,本身就变成“闹剧了”,别总捡“好词”修饰。此外《您却给我扣上“虚伪”的帽子》,也不知道谁先说出“伪君子”三个字的——咳,争论的时候,注意前后逻辑的一致,否则“各种不承认”,有意思吗?
    ming
        125
    ming  
       2015-02-03 16:49:46 +08:00
    @vietor 阁下逻辑太差了。
    我用你的观点反对你的观点是为了证明你的观点错误、前后矛盾,为什么说我前后逻辑不一致呢?
    我逐个反驳你之前的论点,你解释不清楚,用“洗地”、“闹剧”这种情绪化和色彩性的词视图把事情搞混,实在不值得继续讨论下去。
    wangyoang
        126
    wangyoang  
       2015-02-03 17:05:17 +08:00
    捐钱了当然可以到处说,在国外这都是引以为豪的事情,为什么不能说?“做好事不留名”的出发点本来就是错误的。
    openroc
        127
    openroc  
       2015-02-03 17:05:36 +08:00
    赞~!
    shiny
        128
    shiny  
       2015-02-03 17:07:54 +08:00
    就事不就人
    nnfish
        129
    nnfish  
       2015-02-03 17:08:00 +08:00
    赞~~~
    ryd994
        130
    ryd994  
       2015-02-03 18:14:58 +08:00 via Android
    @misink wiki的话我不是一次性捐,而是每月1刀,暂定无限期捐下去。对于长期运营的项目,长期的支持更重要。
    老罗你有钱你学我这样啊,每月1000刀都行,我看你坚持多久。
    misink
        131
    misink  
       2015-02-03 19:47:41 +08:00
    @ryd994 谢谢你为维基做出的贡献 我本来还洋洋得意 这下羞愧了
    我还给mokee捐过10块钱人民币……
    lyman
        132
    lyman  
       2015-02-03 20:20:05 +08:00
    写的好煽情
    tt7
        133
    tt7  
       2015-02-03 20:46:38 +08:00 via Smartisan T1
    降价后的锤子手机整体而言还是挺好用的。 只能说锤子的 marketing 团队错误地估计了大众的判断能力, 同时严重轻视了对手的反营销手段, 几个意见领袖一带头, 多半个国域网都在黑你了, 百口难辩。
    ytf4425
        134
    ytf4425  
       2015-02-03 20:49:48 +08:00
    windyboy
        135
    windyboy  
       2015-02-04 10:09:20 +08:00
    openssl 应该得到捐赠
    对比CM有商业运作的模式,显然openssl接收这笔钱更好
    如果说这是商业炒作,我无条件的支持类似的炒作
    sammo
        136
    sammo  
       2015-02-06 14:50:09 +08:00
    一篇回应
    /t/168711
    benjiam
        137
    benjiam  
       2015-02-06 19:21:11 +08:00 via Android
    到底谁才是真正的隐形战友—开源软件和OpenSSL的真实故事

    2015-02-06霍炬歪理邪说

    前几天,在朋友圈看到转来的原发于“界面“关于OpenSSL和开源项目的“隐形战友”一文。开始觉得不过是炒冷饭,“心脏出血”这个OpenSSL严重漏洞,从去年(2014)4月初被公众知道,到现在已有将近一年了,这件事已经算告一段落。尽管这篇文章充满了误解、硬伤和企业宣传,我也没太在意。结果,今天看到界面的网站上竟然还在用支付宝给OpenSSL募捐,这就荒唐了。之前有一些朋友说,无论怎么样,多一些关注总是好的,从现在的结果看,界面的文章造成的坏影响更大,这篇文章扭曲了开源社区的本来状况,对其他组织和企业也不公平。开源软件、安全、隐私确实是大部分普通用户不了解的领域,但记者要写一篇文章,总应该对历史有个基本了解。

    界面网络的创始人何力先生,曾经创建了经济观察报和第一财经,都是不错的媒体,再次创业界面,也备受关注。可惜界面这篇文章,给我带来的失望比较大。更好笑的是,当年罗永浩对战王自如的时候,罗粉说王自如的公司是雷军投资的,所以王自如一定是倾向小米的。而今天,界面,这个小米参与投资的媒体,登了一篇锤子的软文。这两者之间对比,实在让人哭笑不得。

    我想聊聊开源软件的模式和OpenSSL存在的问题,以及到底谁在捍卫我们的隐私,这些都是界面的文章弄错的地方。我也会写到在“心脏出血“这个漏洞从发现到公布的过程中,惊心动魄和争分夺秒的故事,这个过程暴露出OpenSSL严重的管理问题,

    先从开源说起。

    1 开源是一种商业模式

    界面一文,把OpenSSL描述成没有捐款就没法生存的组织,但开源组织并不是这样,开源和免费一样,是一种商业模式,他们之间有诸多不同,但有一个基本的相同点,就是都希望尽量多的人免费使用它。大家已经免费使用了很多互联网服务,对于免费模式应该非常理解,我们从未给Google付款,从未为我们每一次搜索买单。但我们搜索的行为,我们的注意力、数据,都会变成Google的广告收入。我们每一次使用Google搜索,都是在帮助Google赚钱,尽管没直接付钱给他们。

    开源软件也是如此。开源软件的世界是激烈竞争的,任何一个组织,都可以从当前代码分支一份继续开发新的版本,这个行为叫做Fork。一个开源组织要想生存下去,最重要的基础就是普遍被使用,不然很快就会被竞争者替代。一个软件被普遍被使用之后,就会因此衍生出相关服务,团队可以通过这些服务获得比较好的收入,商业模式就成型了。最著名的例子应该算是Red Hat Linux,中文叫做红帽,他们免费提供Linux发行版,企业可以通过付费订阅获得技术支持,他们收入相当不错,现在已经是一家市值100多亿美金的上市公司。

    OpenSSL采用的也是同样的开源和服务收费的方式运转,OpenSSL基金会的负责人Steve说他们最多一年有将近100万美金的商业咨询项目(资金来源是美国国防部和美国国土安全部),这已经是相当不错的状况。开源软件的全职工作人员都不会太多,大部分项目的核心贡献者同时也都会承担商业性项目,这是很正常的情况。在开源社区中,像Linux创始人Linus这样全职为开源项目工作的程序员,反而不是普遍现象,Linus得以这么做,一方面是Linux基金会财力丰厚,另外一方面也是因为Linux衍生项目太多,影响力也太大,Linus本身又是精神领袖,他不得不全职为Linux工作。同时从事商业服务和开源项目,并不是界面那篇文章描述的那么悲情。

    再来个例子,最好的开源UNIX操作系统FreeBSD,其核心开发者Poul-Henning Kamp(社区内叫他phk)到今天仍然承担商业性项目。即使从1994年到现在,他的一直在FreeBSD代码贡献的排行榜上排第一,也仍然不是FreeBSD基金会的全职员工,他对自己的描述是“自雇”。phk在自己主页上公开了最近正在做的一个商业项目,报酬每月3000美金。以OpenSSL的项目规模,有一个全职开发者已经是相当不错的状况了。

    为什么有这么多人会放弃传统的卖软件的方式,转向免费软件和开源软件?除了个人兴趣和理想之外,开源软件是一个成熟可靠的商业模式,这个商业模式有自己的收入方式和生态。界面这篇文章极力制造普通互联网用户对于OpenSSL的愧疚感,指责普通用户从来没付钱给他们,这种一种道德绑架。任何一个用户,只要在使用OpenSSL,就是在帮助这个组织获得市场份额,在竞争中获得更大优势,无论有没有直接捐款给他们,用户都已经做出了贡献。

    2 为什么OpenSSL之前只能收到很少捐款?——基金会、捐赠和募资

    虽然开源组织可以通过商业服务来让自己生存的不错,但是一般也都很愿意接受捐款。有足够的捐款,可以少做一些商业项目,把精力往开源软件方面倾斜一些,这当然是好事。大部分软件和IT企业,每年都有不小的一笔钱用来支持开源项目们,同时也争取自己在开源社区的影响力和发言权,开源组织们每年接受的捐款按照各自项目状况,都不算少。但为什么一年前,OpenSSL这个项目每年只能收到几千美金的捐款呢?答案很简单,因为他们从来没有搞过募捐活动。

    开源组织通常会设立一个注册为非盈利机构的基金会,通过这个基金会募集资金、组织活动、推广自己的开源产品,视项目情况给专职或者兼职开发者付报酬,其中募集资金是基金会相当重要的工作。如果经常使用维基百科的用户,应该会有印象。维基百科每年都有一个固定时段,会在网站上放置非常明显的筹资通告,设定好本年度预算目标,让大家捐款。达到数额之后,捐款就停止,不再接受更多。几乎所有开源组织,都会通过这种方式募集捐赠。

    OpenSSL基金会从来没公开募集过资金,如果没有捐款目标,没公开募捐,就很难有成批的捐款进入,毕竟,需要资金的项目实在太多了。对于OpenSSL这种项目,募资相当容易,他们只需公开发一份筹款通知,各大企业的钱就可以立刻到手。当“心脏出血“发生之后,诸多企业惊讶的不是只有一个全职开发者这件事,而是,为什么你们一直没筹款。OpenSSL从来没公布过自己的财务状况,没有设置过募款目标,这让人们如何去捐款给他?

    更有意思的是,OpenSSL基金会并没有注册为非盈利机构,而是一个盈利性企业。捐助OpenSSL的人和企业无法从美国政府获得减税。按照他们自己的说法,是他们没有时间维护一个非盈利组织,这不是个好理由。对于一个开源项目,注册一个非盈利组织比注册公司难不了多少,再说,基金会之所以成立,不就是为了去做这些事吗?盈利性企业已经定义了他们是希望靠商业活动获得收入,而不是靠捐款生存。捐款给盈利性企业,钱的利用率就会变低很多,按照美国税法粗算,最多的情况下要多交出30%~40%的税,是巨大的浪费。这也解释了为什么美国企业很少捐款给OpenSSL基金会。

    不过,就算如此,事情也是在快速好转的。“心脏出血“事件之后,Linux基金会在极短的时间内就成立了核心基础架构联盟(CII, Core Infrastructure Initiative),这个联盟和以往最大的区别是,他们主动挑选缺乏资金的重要开源项目进行资助,无论对方是否募款,OpenSSL是他们资助的第一个项目。这个联盟集结了世界各国的科技企业共同出资,其中包括了Google、Amazon、Facebook、思科、富士、惠普、IBM…目前已经有了10多家企业。其中中国企业只有一家,是华为。特别值得一提的是,除了给CII出资,华为也单独资助了OpenSSL基金会每年5万美金。可惜,界面的文章似乎把华为忘了。参加CII联盟的企业每年出至少10万美金,按照2014年的数字,CII每年总共有170万美金基金可以使用,第一期资金主要用来资助OpenSSL和OpenSSH,资金相当富裕。

    上面这些事情都发生在去年5月,也就是“心脏出血“事件之后的一个多月时间里。无论是各大科技企业,还是Linux基金会,他们的行动都非常迅速,这是开源世界的做事方式和效率。到去年5月,OpenSSL的资金问题就算解决了。从这个结果看,之前OpenSSL没有得到足够捐款的直接原因就是其基金会失职。

    做为对比,再看看去年OpenBSD募款的经历。OpenBSD是最关注安全的开源Unix操作系统,他们同时也是OpenSSH的维护者(看到SS是不是觉得和加密也有关系?没错,这也是一种加密工具,只不过不是给客户用的,是给服务器管理者和程序员用的),去年的募款目标仅仅是15万加币。相比起来,170万美金实在已经是太多了,如果CII给的钱不够让OpenSSL变好,恐怕再多的钱也不会好了。

    除了直接捐钱,各大企业支持开源项目的方式还有很多,比如捐献自己员工的时间。任何一个开源项目中,都有来自各大公司工程师的贡献,这些公司给自己员工发薪水,他们写的代码会回馈给开源项目,比起捐款,这是更直接的支持。比如去年发现“心脏出血”漏洞的工程师,是Google员工,他在上班时间全职对OpenSSL代码做安全审计,找到了这个Bug。他确实不是OpenSSL基金会的直接雇员,但这份由Google买单的全职劳动成果是贡献给了OpenSSL项目的,说所有大公司都没支持过这个项目,未免太不公平。而这种错误言论,正是界面文章宣传的论调,按照这篇文章的说法,一个中国小公司救了全世界互联网用户,这是何等荒唐。

    说到这里,再说说捐款问题。我非常反对界面渲染的这种捐款情绪,这是利用人们的愧疚捐款。钱是非常宝贵的资源,需要用钱的地方太多了,正确的捐款是在捐款者对项目的充分了解后,基于对其价值观和方向认同,按照自己的愿望进行长期而小额的固定捐助。在这个过程中,税务问题也是必须要考虑的,这直接决定了资金利用率,比如美国税务居民,捐赠给OpenSSL,资金的利用率就很低,而捐款给CII再由他们资助OpenSSL,就可以得到一部分免税,利用率高了很多,如果是加拿大税务居民,想对操作系统方面的项目捐款,应该首选OpenBSD,因为它是加拿大注册的非盈利组织。捐款是一个非常理性的行为,隐藏部分信息,利用人们对开源项目的不了解,煽情,制造愧疚感,这是不可持续的,也是不公平的,这些都是界面的文章和之后的运营所做的事情。

    3 OpenSSL的问题和未来

    界面的文章中说基层程序员批评他们的代码“令人作呕”,实际上,说这句话的人是Theo de Raadt,是OpenBSD项目的创始人,他可不是“基层程序员”,而是操作系统领域最好的计算机科学家之一。OpenBSD开发者们并没止步于批评,而是立刻决定从当前OpenSSL版本创建一个叫做LibreSSL的独立项目,从清理OpenSSL的代码重新开始。他们在第一周就删除了9万多行代码,OpenSSL整个项目只有38万行,相当于删减了近1/4的代码。可见Theo的批评并不是顺口胡说。几年来,OpenSSL出过各种漏洞,在“心脏出血“之后,仍然有隐藏了10年以上的漏洞被发现,很多熟悉这个项目的人看法都是“除了重写别无办法”。

    OpenBSD有一份文档说明了他们在清理过程中遇到的问题,去掉其中的技术细节,我把主要观点列在这里,这些也基本是业内主流看法:
    OpenSSL的代码混乱不堪,难以阅读。开源软件一般通过让更多人看到代码来发现bug,如果代码难以阅读,这个办法就失效了。
    他们使用了大量自己的代码封装和编程风格,这些代码有的有bug,有的不符合现代主流做法。这让常见的检测工具没法应用于他们的项目,更难以发现Bug。
    他们的开发者更关心增加功能,而不是维护和修补。
    其他开发者提供的修改和贡献,一般不会被合并到最终代码里。
    很多用户指出的Bug,包括一些相当严重的,公开放在追踪系统里面长达几年,没被修补。
    其中存留了大量无用的旧代码,比如给windows 2000之前的16位系统写的兼容代码,仍然包含在最新版本的OpenSSL中。
    基于以上原因,OpenBSD认为这个项目已经没法维护了,必须要重新开始。这就是他们创建一个分支,从清理代码这种基础工作开始的原因。可见,这个项目根本不是钱的问题,而是管理方式和社区文化有问题。比起来其他项目,他们在有一个全职开发者和一个全职基金会主席的情况下还能响应如此缓慢,实在更令人沮丧。顺便说一句,做清理代码这件事的OpenBSD开发者,也不是全职工作,他还在这份文档前面特别注明了“可以被雇佣”。一年之后的今天,LibreSSL已经基本算可用了,除了清理和改变了原有代码风格,他们也增加了一些更先进的特性,看起来很有前途。另外,这个项目也很需要捐款,如果更认同他们的做法,可以捐款给他们。

    除此之外,OpenSSL公布“心脏出血“漏洞的过程也非常有问题。一般出现严重漏洞的流程,是先不对公众公布,立即通知主流操作系统维护者和相关厂商,让大家先修改,之后一起发布安全公告和升级。之所以这样做,是因为如果操作系统不去打补丁,很多普通用户知道漏洞也没办法修补,反而让黑客们更容易利用这些漏洞。OpenSSL不是这么做的,在Google告知了他们漏洞之后,OpenSSL没有告知任何一家操作系统厂商,反而奇怪的被几家主要CDN厂商知道了,也就是说,在不知道哪个环节发生了泄密。之后开源社区中开始有关于这个重大Bug的传言,直到这个时候,几大操作系统仍然没得到正式通知。又过了3天,OpenSSL才告知了Red Hat,当天,参与处理这件事的一位Red Hat员工在一个私密邮件组里面把这个消息分享给了SuSE/Debian/FreeBSD等几个重要操作系统相关负责人。多亏了他,因为此时OpenSSL仍然表示没有任何细节提供,这是加州湾区的太平洋时间4月6日晚上,从Red Hat得到具体细节的几大操作系统,连夜开始忙着打补丁,到这个时候,Red Hat提供的消息是OpenSSL将在9号,也就是3天之后公开这个漏洞。可惜,转天,4月7日一大早,OpenSSL就直接发布了公告,媒体们知道了,全世界都知道了。如果没有Red Hat提前放的消息,最后的影响恐怕还会大的多,就算如此,因为时差的原因(Red Hat那位员工在印度),很多在他夜里睡觉之后的邮件没来得及回复,仍然有很多厂商没能提前得知细节。关键厂商对于如此重大的漏洞比媒体知道消息还晚,近年来恐怕这是第一次。这造成了不少损失,比如加拿大国税局CRA在漏洞被公开之后发现数据被盗,此时已经来不及打补丁了,所以干脆直接把电子报税系统关掉了,当时是4月9号,加拿大2014年的报税截至日期是4月30日,正是电子报税系统最繁忙的日子,其间的尴尬可想而知。整个过程的时间线,在theage的一篇文章有完整记载,我列在最后,供参考。

    针对这个反常的流程,社区中有不少阴谋论的看法,我不转述这些看法,我只是想说,这是另外一个证据证明OpenSSL有严重的管理问题,而不是钱的问题,人们说他们把事情做的一团混乱绝对不是没理由的指责。

    另外,OpenSSL并不是凭空出现的项目,而是继承了另一个项目SSLeay的代码。在SSLeay的开发者去RSA公司工作,不能继续这个开源项目之后,有好几个项目继承了它的代码继续开发,OpenSSL只是其中比较成功的一个。维基百科上列出了SSL库的实现,包括OpenSSL,现在还在使用的也有10多个,其中开源的占了将近一半。

    这也是我不赞成吹捧OpenSSL的原因,历史的选择往往存在偶然,具体到SSL软件上,就更复杂,这是混合了技术,商业,历史,政治复杂因素之后的偶然结果。现在OpenSSL暂时有最多的用户,以后则未必会如此,我相信,早晚会有一个新的替代者出现。

    4 谁是真正的人类隐私捍卫者?——电子前线基金会的故事

    界面这篇文章认为OpenSSL是人类隐私的捍卫者,事实上,OpenSSL只是同类加密软件中的一个,他们当不起隐私捍卫者这个头衔。今天,我们可以不知不觉获得加密软件的保护,背后有一些曲折的故事,那是真正的隐私捍卫者的故事。

    曾经,加密技术是被美国政府禁止出口的,就像很多武器禁止出口一样,其他国家的人,想要使用这些加密算法,就像要从美国买导弹一样,是不可能的。转机发生在1995年,这一年,加州伯克利大学的研究生Bernstein在一个叫做电子前线基金会的律师帮助下,起诉美国政府。他的主张是自由发表加密算法,属于言论自由的一部分,从而受美国宪法第一修正案保护,史称 Bernstein v. United States。这个案子进行了4年,到1999年,美国联邦第九巡回上诉法院出了判决,依据第一修正案,判决美国政府禁止公开密码算法违宪。在这之后,各种密码协议和开源算法才从美国流传出来,被自由使用。

    电子前线基金会EFF(Electronic Frontier Foundation),创建于1990年,是一个法律援助组织,他们的使命是捍卫隐私,自由表达和公民权利。这也是一个基金会,而且是一个完全靠捐款运作的非盈利组织。EFF创始人之一是Lotus公司创始人卡普尔,曾经是和比尔盖茨齐名的软件天才。80年代,Lotus是最大的独立软件公司,几年之后微软才超过它。卡普尔是一个极具前瞻精神的奇才,1990年,卡普尔意识到未来技术、隐私、法律和政治的冲突,自己出资创建了EFF,后来的资助者中还有著名的苹果联合创始人沃兹。当时,商业互联网尚未成型,可见他们前瞻性之强。关于EFF的传奇故事可以写很多篇文章,这里我们先说和OpenSSL有关的部分。

    曾经浏览器的领导者Netscape,于1995年开发了第一个SSL协议。SSLeay也在1995年完成了第一个实现,1998年SSLeay中止开发,由社区接手。直到1999年美国政府败诉,加密技术终于可以自由流通。这才是人类隐私保护工程的历史脉络。在这个复杂的故事里面,OpenSSL是受益者之一,也是整个故事中的一小段,界面的文章把OpenSSL开发者捧为人类隐私的捍卫者,不仅过誉,而且显得非常无知。

    EFF及其创始人卡普尔,是真正的理想主义者,他们没有商业收入,自己掏钱,做这一件事做了25年之久,通过一个又一个的诉讼案和对隐私相关案件的法律援助,他们成功推动了社会进步。这才是互联网时代真正的隐私的捍卫者。

    5 媒体的责任

    有朋友说,写写文章,让大家捐点钱,怎么也不会有害,不应该被批评。我不这么认为。媒体传播是可以影响人群选择的。这在开源领域有先例,比如,BSD是最正宗的UNIX继承者,但曾经的一场诉讼,让BSD应用广泛程度至今不及Linux,媒体在这个过程中起了相当重要的作用。直到今天,谈起开源软件,媒体都更关注Linux,质量更可靠的BSD缺少关注,从而影响了人们的选择。界面文章中说“如果一个开源项目在商业世界获得了成功,那决不会是出于侥幸,决不会是因为其它竞争者恰好被规章制度所累、被知识产权法约束“,BSD的历史正好是一个反例。(“决不会“ 此处错字为界面原文引用)

    所以,界面这篇文章的影响是很负面的。我在前面指出了不少他们在整体认知上的错误,其他的小错和不合理之处更是多的说不完。比如,界面的文章说"有了锤子科技的那笔捐款"OpenSSL的开发者在德国Linux会议期间才终于有机会见了一次面。文章中有一张OpenSSL开发者的合影和人名,就算这些人你之前完全不知道,现在立刻Google一下就知道,这些人里面有Debian开发者,也有Google全职员工,这些人都不是OpenSSL付薪的,就凭这张照片,说大企业一分钱没出过也实在说不过去。再说OpenSSL开发者大部分在英国和欧洲,从伦敦飞德国法兰克福,往返机票也就300美元,硬要说这些有工作,有正常收入的工程师连300美金机票都要等这笔捐款,未免太过夸张。

    我想问问界面编辑部,你们认为这篇文章到底是不是软文。如果作者是在写付费软文,那么是职业道德问题,如果没收费,而是作者出于对罗永浩的崇拜写了一篇软文,那么是公器私用,也是职业道德问题,如果作者没收费又不是公器私用,仍然写出了一篇如此软,错误如此多的文章,那不仅仅是职业道德问题,还是能力问题。界面网络的编审流程看起来也不那么靠谱,让这么一篇文章发表出来,还四处推广,恐怕编审团队没做什么背景调查,甚至都没去搜索点相关文章读读。另外,整篇文章连一个观点相反的平衡意见都没有,完全是单方面的观点阐述,这也违背了平衡报道准则。一篇好的报道,应该兼顾各方意见,给读者展示各种观点,提供多方面信息,界面没能做到这一点。

    互联网的安全,不取决于一个特定的软件,即使这个软件是用来加密的。发现“心脏出血“漏洞的Google员工Mehta说过,libjpeg如果出问题,可能会有极大影响。libjpeg用来生成和显示大部分网站和软件的图片,被普通人用到的范围比OpenSSL更广,威胁也会更严重。当人们被媒体把关注转向OpenSSL上时,大量更重要的问题就会缺少关注。希望能有更多人关注更多的基础项目,而不是和汶川地震一样,盯着看各大企业谁给OpenSSL捐款更多。一年了,炒作也应该结束了。

    界面的这篇文章对华为、诺基亚,Google这样出钱出力,没自我炒作的厂商不公平,对于其他开源组织也不公平。界面是一家有正规编审流程的机构,严谨程度还不如我这种完全靠个人爱好写作的非专业人员,虽然不严谨,但他们的煽情技巧确实是出色而专业的,这篇文章被很多人称为精彩,这令人失望,也非常遗憾。


    如果界面这样水平的文章,也可以赚钱,我一直免费写文章简直是对自己不尊重。因此,按照他们的逻辑,如果您觉得我这几个月的文章挺值得一看,想对我的写作工程给予一点点支持,请在微信中长按,或者扫描以下二维码捐助我。我比界面鼓动的方式靠谱一点,每次捐助我10块钱就行了。非常感谢。


    公益广告:

    说到捐款,中国也有一些不错的项目可以捐助。比如关注儿童听力问题的咿呀总动员(点击阅读原文查看),这是我的朋友创建的公益项目,非常靠谱。欢迎捐助或者关注微信帐号: yiyazongdongyuan,也可以扫以下二维码:


    资源备注:
    标题图:eff主题T恤,作者Ben Ramsey,遵循cc2.0协议使用于非商业应用。来自https://www.flickr.com/photos/benandliz/106772871/
    freeBSD代码贡献榜第一人 phk 对他最近一个商业项目的描述 http://phk.freebsd.dk/time/20140926.html
    ”心脏出血“事件时间线 http://www.theage.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140415-zqurk.html
    界面新闻《隐形战友》 http://www.jiemian.com/article/231843.html 供对比批判阅读

    本文来自霍炬的微信公共帐号“歪理邪说”,用微信添加 wxieshuo 公众号,或扫描以下二维码,即可订阅。

    版权声明:本文可以转载,但必须保留作者姓名和 wxieshuo 公共号名称。如果有可能,请附带捐款信息和公益广告一起转载。多谢。






    阅读原文阅读 176631 举报
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   921 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 20:41 · PVG 04:41 · LAX 12:41 · JFK 15:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.