译者注:本文为 OpenSSL 基金会主席 Steve Marquess 登载于自己的博客上的,一篇关于 OpenSSL 此前曝出的重大安全漏洞“心脏出血”Heartbleed“的评论文章。在文中, Marquess 解释了漏洞的实质和成因,向读者介绍了 OpenSSL 基金会以及 OpenSSL 开发团队人员的现状。并且,他用幽默而又苦涩的言语,向质疑、抨击 OpenSSL 基金会和开发团队成员的无知大众进行了回击,并且顺道黑了一手世界 500 强当中那些使用 OpenSSL 软件获利,却从不为 OpenSSL 社区和开发团队贡献一分一毫的财团企业。![]() 命运选择了我,作为 OpenSSL 的“金主”(money guy),所以我也来谈谈 OpenSSL 这档子事儿吧。 了解 OpenSSL 的朋友一般也比较了解我们 OpenSSL 软件基金会(OpenSSL Software Foundation, OSF)。不了解的,你们也可以看看最近一段时间的新闻,对我们描述的非常清楚:OSF 是专门为了为 OpenSSL 拉钱而成立的法人组织。请注意我的用词:“拉钱”,意思就是,为 OpenSSL 这个项目去辛辛苦苦的拉钱,为 OSF 产生收入,不论使用任何方式(当然是合法的方式)。 OSF 一般每年能够收到大约 2000 美元的赞助,除此之外,我们为外界提供专业级的 OpenSSL 软件支持服务。官网上写了,收费可以按照时薪,也可以按照每一单的固定价格计算。
如果你不知道我们的收入怎么样,那我可以告诉你:在过去的五年里,我们起早贪黑,为全世界的人们修理他们的服务器和 OpenSSL 软件,而从来没有一年的收入超过 100 万美元。 感谢一直以来媒体对我们的照顾,在过去的一个月里,我们一直能收到来自草根朋友源源不断的资金援助,并附了他们对我们的感谢信。 当中有一条我特别喜欢的感谢信,我真的忍不住贴出来: Thank you… For doing something really fucking hard, and making it free. 这些援助,从邮箱的地址来看,来自全世界各地,大部分金额是 5 美元到 10 美元。我还没完全统计出一个详细的表格,不过粗略的算了一下,大约 9000 美元吧。我要告诉你们的是:即便这些小额援助,按照现在的速率,源源不断地向我们发来,即便我们把每一笔钱全都直接转交给 OpenSSL 团队人员,对于我们团队支持 OpenSSL 这个互联网史上最重要加密软件之一的工作,也是远远不够的。同时你们也别忘了,OpenSSL 是开源的,“用之于民”的,所以我们从最一开始就没指望过能够依赖朋友们的私人援助来一直走下去。 |