导读:

凉爽惬意的九月天,我们迎来了OpenSSL开源社区的第一次中国之行。此次行程由白山云科技(BaishanCloud)的技术代表杨洋全力促成,他们一行人先后拜访了阿里、锤子科技、腾讯、百度等国内知名的互联网公司。“图灵访谈”有幸受邀,参加了OpenSSL在北京的技术分享交流活动,并对Steve Marquess(OpenSSL的创始人之一和社区的“大管家”)、Tim Hudson(OpenSSL前身SSLeay创建者,OpenSSL创始人之一)以及杨洋(白山云科技架构师,OpenSSL代码贡献排名18)进行了采访。

近期,“图灵访谈”会在图灵社区、图灵访谈微信号、一点号等平台先后呈现三位嘉宾的访谈实录。请读者朋友持续关注。

enter image description here 杨洋(左一)、Tim Hudson(左二)、Steve Marquess(右一)

访谈嘉宾:

Steve Marquess, OpenSSL创始人之一,管理委员会会员,OpenSSL团队“大管家”。

Steve毕业于约翰霍普金斯大学,曾担任过美国国防部顾问。目前作为董事长和CEO运营Veridical Systems公司,为美国国防部提供咨询服务。

Steve在这次的交流活动中,分享了OpenSSL的发展历程、最严重漏洞——HeartBleed事件、社区当前的运行状况,以及参与OpenSSL开发的事宜。印象最深的是,这个开源社区足够坦诚、足够开放。OpenSSL会把项目管理的规则清清楚楚地写出来,甚至公开谈论他们的资金不足问题。我想,这是因为他们的目标是为尽可能多的人,永久免费地提供最好的安全服务。

访谈实录:

为什么会加入到OpenSSL的贡献工作?

Steve: 我之前从事一种相对自由的咨询工作,类似自由职业者。客户来自各行各业,项目也各不相同,做了40多年。确实也跟军方合作过一个项目,是关于医疗设备方面的工作,并不像网上谣传的那样参与过军火交易,比如说枪、导弹这些东西从来没有参与过。

辞去之前的工作来做OpenSSL,是因为我有退休金,哪怕不工作也可以养活自己。经济条件能够让我辞掉原来的工作。我也不是一下子完全辞掉的,也是慢慢地减少工作,从兼职变成全职。

你喜欢OpenSSL家族的“大管家”这个称号吗?主要负责哪些工作?

Steve: 说实话,我不知道有这个外号,也是第一次听说,可能是因为中文翻译的问题吧。总的来说,我现在做的一些事情大多是幕后的工作。并不是很有趣、比较无聊,但是还得有人去做的事情,比如财务,法务,管理我们的资金,跟税务局打交道。我做了这些事情,其他同事就可以做更重要的事情,写更重要的代码。

OpenSSL开源项目的运行资金从哪里来?

Steve: 除了来自第三方的捐款,我们主要做一些咨询方面的项目,比如帮助英特尔这样的公司。过去五年,我估计有四分之一的营收是从商业性的项目合作中获得的。

关于筹款,我们有自己的基金会——OpenSSL软件基金会。作为法律认可的实体形式,它帮助我们接收任何形式的捐款。就我个人而言,Linux基金会在过去也曾给我们捐过钱,资助我们解决了部分雇员的工资。现在OpenSSL并没有从Linux基金会获得更多的捐款,不过我们倒是希望获得更多的捐款。此外,还有以公司名义向我们捐过钱的,比如罗永浩的锤子科技。

OpenSSL现在的资金问题还很严重吗?

Steve: 关于我们到底有没有足够的钱这个问题,我想说,总的情况要比之前好了不少,也能够挣更多的收入。当然,现在也只能够让我们雇佣四个全职人员。如果有更多的钱,我们可以雇更多的人,做更多的事情。所以,有机构向我们捐款的话,是最好不过的,我们永远都是欢迎的。

enter image description here

心脏出血(HeartBleed)事件,对OpenSSL的影响有哪些?

Steve: HeartBleed事件是一个惨痛的经历,但是也有它的好处,这件事情的发生说明了计算技术和互联网在很大程度上依赖于OpenSSL。

出了这么大的事情,对于一个人手有限的团队来讲,我们的日子确实不好过。那段时间,我们特别紧张,不希望未来再有类似的经历发生。HeartBleed事件让我们受到了太多的指责,这是意料之中的事,但意料之外的是我们也收到了很多鼓励的声音,来自全球各地的反馈,甚至包括一些我从来没有听说过的非洲国家,以及来自中国的令人鼓舞的消息。我们先后收到了数百个中国人以及像锤子科技、华为这两个中国企业的资助。同时,还有很多像白山云科技这样的公司,他们的工程师贡献出自己的才华和时间来帮助OpenSSL。支持OpenSSL的方式不仅限于捐款,还有贡献你的才能和时间。

如何向没有技术背景的人,解释OpenSSL?

Steve:我确实可以想到这么一个比喻,以前没用过,今天第一次使用它。OpenSSL对于终端的用户是隐形的、看不到的,就像是电力设施一样,普通人并不会想太多这里面的东西。他们只是知道一打开开关,灯就会亮,至于墙里面的电线和电线外面的绝缘体,就不太关注了。因为有绝缘层,电流才没有到处乱跑,把人给电到。所以,整个网络就像是错综的电路,而信息是里面的电流,我们的OpenSSL就担任绝缘层的功能,保证电流不会跑到不该去的地方,不会泄露出去。

和其他竞品相比,OpenSSL目前是一种什么样的地位?

Steve:我们确实是一个占统治地位或者是主导地位的“绝缘体”牌子。存在一些竞争者,但他们的规模和人数都远远不能和我们相比,不管是在商用还是其他开源应用里,我们的市场占比都非常大。

OpenSSL的这次中国之行让你见到了很多中国的用户,也参观了很多知名的互联网公司,这给你带来了哪些感受?

Steve:就感想而言,我们中间大部分的人都是第一次来中国。之前对中国很感兴趣,但都是从书本上了解到的,这次终于可以亲身体验。第一感受就是“大”:人口很多,城市非常大,机场建得也非常大(我们不得不在机场里来回转悠),还有很多大公司,他们做一些很远大的事情。这次我能够亲眼看到和体验到中国,很高兴。另外,我本人也不是从一个小国家来的,是美国呀,又不像澳大利亚。(注:这里Steve 在调侃Tim Hudson。Tim是新西兰人,住在澳大利亚,面积相对小的国家。)

在过去的一个星期,我们去了很多公司,阿里巴巴、华为、腾讯、百度、白山云科技、锤子科技等,没有发现什么根本上的区别。就我而言,这些公司跟美国及其他一些西方国家的公司没有什么区别,一样的办公桌、手册、文档......另外我想说明的是,西方国家的许多公司里也有很多的中国员工。Tim Hudson说的是对的,相比罗曼语系的程序员,中国的程序员确实有语言沟通方面的障碍,在这方面要付出更多的努力。

注:

心脏出血事件:是一个出现在加密程序库OpenSSL的程序错误,首次于2014年4月披露。该程序库广泛用于实现互联网的传输层安全(TLS)协议。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的心跳扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。——摘自维基百科


更多精彩,加入图灵访谈微信!