enter image description here

故乡儿的“双城计”

能解释下,你为什么是生活在北京和沈阳两座城市之间的人吗?

我是土生土长的沈阳人,从出生到大学毕业、再到第一次进入职场,所有的事情都发生在沈阳。因为一些原因,2014年的时候,我到了北京,工作了两年多。

我是那种难离故土的人,所以一直想着从北京回到沈阳。沈阳这座城市,它不像北京有那么多的互联网公司,没有机会让你了解更多的事、见更多的人。我的想法是,能否找到可以远程办公的公司,人在沈阳,工作在北京。非常幸运的是,白山是一家允许自己的员工选择工作地点的公司,所以去年年底我就来到了白山。现在的状态是,大部分时间都在沈阳的家,然后按需服从调度。如果北京或者厦门的研发中心有需要,我就会出差过去。

怎么对安全系统研发开始感兴趣的?

接触安全开发是因为工作的关系。我的第一份工作是在东软集团的网络安全事业部研发防火墙设备,发现安全领域比较有挑战,很多技术细节都值得去仔细琢磨。所以,从那以后我就一直在网络安全领域工作。

开源项目的贡献者

成为开源项目OpenSSL前18的代码贡献者,需要付出哪些努力?印象最深的一次社区贡献是什么?

开源社区的通用语言是英语,作为母语是汉语的程序员,我们最大的障碍就是语言问题。这可能比那些母语非英语的西方程序员更加困难,需要付出更多的努力。第二个需要克服的地方是,习惯分布式团队的协作,讲究沟通的效果(以及效率)。

enter image description here

印象最深的一次社区活动应该是新增了一个文档。当时,OpenSSL举行了一次Code Health Tuesday活动,项目中的一个任务是提交文档。给我最大的感受,就是文档比代码还难,因为文档要准确、精炼、地道地讲清楚API提供的功能。在review的过程中,被指出了很多语言和文字方面的问题,有些问题在我这个英语非母语的人眼中根本看不出区别。即使是像文档这种看起来并不会直接影响代码质量的贡献,OpenSSL也会非常认真地评审,这可能也是心脏滴血之后整个社区最大的改变之一。

怎么兼顾工作和社区贡献的?

我的工作时间,大概是从10:00开始到次日凌晨03:00结束。上午处理自己负责的工作,下午会处理公司里面的事情,因为下午这段时间对于各地的同事来说都很合适。晚上,我会切换到和OpenSSL成员们一样的工作时间。大概每天都是这样!

enter image description here

之所以能兼顾两方,其实是白山的管理比较开放和自由,支持我去做公益性质的开源项目,让我可以投入大量精力到OpenSSL上。

持续的动力

其实,这些都是相当耗费时间和精力的,为什么还能保持这份热情?包括你这次邀请OpenSSL社区成员的首次来华?

理由其实很简单,Just for fun!

有些人喜欢在业余时间看电视剧,有些人喜欢玩游戏,对我来说就是写代码。就像大学时喜欢玩乐队,这些同样带给我快乐。写代码有的时候跟谱曲有点像,对我来说,都是创作的快乐。

enter image description here

开始接触OpenSSL,主要是工作方面的原因。最近几年,互联网在安全和技术加密方面的发展势头很快,OpenSSL起到了非常重要的基础作用。一定意义上,这更加坚定了我对OpenSSL社区的关注和支持。另外,我认为OpenSSL有着独一无二的优势:

1.在同类开源产品中,OpenSSL的用户基础最大,使用范围最广

2.新技术跟进较快,比如TLSv1.3的支持

3.社区文化更加开放,有明确的团队章程,这有利于项目的可持续发展

互联网安全一直是我们国家非常重要的话题,包括成立安全领导小组。这几年网络安全行业的发展势头非常好,所以在腾飞的好时机请到OpenSSL过来,让他们了解中国安全领域在做些什么事情,了解中国公司的需求、技术的发展方向以及中国市场和全球市场的差异。某种程度,这给中国市场和国外市场建立了沟通渠道。

工作中遇到过的、排名前三的安全漏洞有哪些?

比较重大的并且印象深刻的可能只有两个:心脏滴血和POODLE。这两个漏洞都曾导致项目中的产品或者服务不得不进行升级或者调整功能,尤其是心脏滴血事件,特别紧急,需要尽快升级项目中的OpenSSL。

POODLE的情况稍微缓和一些,但是也影响了产品和服务的特性,比如禁用SSLv3。

爱的传递

为什么要翻译《HTTPS权威指南》一书?

当时,我参与了一个跟HTTPS相关的项目,我们的团队阅读并主要参考了《HTTPS权威指南》的英文原版Bulletproof SSL里面的很多技术。这本书对我们的帮助很大,所以就希望把它翻译成中文,让更多的中国读者有机会阅读到这样一本优秀的著作。

enter image description here

翻译过后,原书的什么内容对你原有的知识体系产生了最大的影响?

原书使用了大量的篇幅来描述SSL/TLS协议的安全问题,包括针对PKI的攻击,利用实现的缺陷进行攻击以及针对协议缺陷产生的攻击等,而这个领域是我之前很少接触的。原书的这部分内容比较晦涩,翻译起来也比较困难。要解释清楚威胁的细节以及如何实施攻击的步骤,我把一些语言进行了重组,方便用中文表达出来。


更多精彩,加入图灵访谈微信!