杭州網(wǎng)站建設(shè)蒙特信息 2014-4-21 譯
上周的Heartbleed網(wǎng)絡(luò)錯誤揭示了一個驚人的事實(shí)。軟件保護(hù)銀行、電子郵件、社交媒體和政府維護(hù)的只有少數(shù)人。
他們都是志愿者。且只有一個它作為一個全職工作。
愛是OpenSSL的勞動,一個免費(fèi)的程序,獲得了大量的在線交流。和兩年前這是一個微小的編碼錯誤導(dǎo)致Heartbleed錯誤,一個洞,讓攻擊者可以窺視到電腦。上周在錯誤被迫緊急變化等主要網(wǎng)站 臉譜網(wǎng) (神奇動物, 財(cái)富500強(qiáng)), 谷歌 (google, 財(cái)富500強(qiáng))和 雅虎 (yahoo, 財(cái)富500強(qiáng)).
但安全專家說OpenSSL是嚴(yán)重資金不足,人手不足,很大程度上被忽視。
錯誤直到最近才發(fā)現(xiàn),因?yàn)镺penSSL軟件基金會沒有正確地??查每一個變化的資源軟件,目前近一百萬行代碼。然而程序警衛(wèi)絕大部分我們的商業(yè)和政府——包括武器系統(tǒng)和智能手機(jī),索賠的基礎(chǔ)。
相關(guān)故事:Heartbleed錯誤解釋道
“神秘不是幾個勞累志愿者錯過了這個bug,神秘的是為什么沒有發(fā)生更頻繁,”史蒂夫?侯爵基金會的主席說一封公開信.
當(dāng)權(quán)衡網(wǎng)絡(luò)安全的重要性,OpenSSL極少的預(yù)算。它從未收到超過100萬美元一年,侯爵說。唯一的聯(lián)邦政府的支持上市的在線是一個從美國國防部20000美元的續(xù)約合同。
而從國土安全部基金會收到錢, Citrix (頗具啟發(fā)性)和其他人來說,絕大多數(shù)的資金是來自特定work-for-hire合同。公司希望某個功能添加在這里,一個特定的函數(shù)。它使開發(fā)人員很忙。但侯爵說沒有錢向評審代碼或執(zhí)行審計(jì)。
事實(shí)上,唯一的人在這個全職工作是斯蒂芬?漢森極其私人生活在英國數(shù)學(xué)家稱為侯爵置評。只有少數(shù)其他開發(fā)人員投入與任何一致性,和侯爵告訴CNN他們的總勞動也許兩個全職工人。
黑客是如何擊敗Heartbleed錯誤
即使在Heartbleed之后,該基金會只收到了9000美元,引發(fā)了侯爵公開免費(fèi)使用OpenSSL的公司。
“我看著你,財(cái)富1000強(qiáng)企業(yè),”他寫到。
Heartbleed之后,這對OpenSSL缺乏資金可能敲響了警鐘。
創(chuàng)業(yè)公司和大公司經(jīng)常使用開源軟件,因?yàn)樗淖杂煞植己统杀?。但他們很少貢獻(xiàn)以??元或捐贈。沒有重要的外界幫助,捐贈專用人員和金錢沒有附加條件——這樣的開源項(xiàng)目都處于無果而終的風(fēng)險或吹在我們的臉上,說Azorian網(wǎng)絡(luò)安全創(chuàng)始人查爾斯Tendell。
“如果你買了你的車,知道這是由志愿者,你會是什么感覺呢?”Tendell問道。
少數(shù)公司提供一些幫助。Facebook和微軟贊助bug賞金通過HackerOne程序——基本上支付黑客找到錯誤,需要修復(fù)。和谷歌安全研究員,Heartbleed梅赫塔,誰發(fā)現(xiàn)了bug。
其他人都相信是時候芯片。最初反應(yīng)的馬克?Gaffan cloud-security提供者的創(chuàng)始人之一Incapsula,是:“你希望什么?你有這個免費(fèi)。你得到你支付?!暗聦?shí)證明他的公司依賴于OpenSSL。當(dāng)被問及他會以身作則,Gaffan承諾他的公司將首次捐贈。
相關(guān)故事:Post-Heartbleed,現(xiàn)在改變這些密碼
最近的恐慌已經(jīng)白宮的注意。現(xiàn)在奧巴馬政府“采取強(qiáng)硬看看OpenSSL等廣泛使用的工具是否有更多的聯(lián)邦政府需要做的,包括支持研究和發(fā)展,“國家安全委員會發(fā)言人勞拉·盧卡斯Magnuson說。
然而,有一個捕捉。政府只能如此接近沒有引發(fā)擔(dān)憂,實(shí)際上破壞了網(wǎng)絡(luò)通信的安全,特別是在愛德華·斯諾登的披露國家安全局的廣泛的監(jiān)控程序。前國家安全局加密工程師Randy Sabett現(xiàn)在科技隱私律師厄爾律師事務(wù)所,希望開源社區(qū)將憂慮。
“公眾不希望政府參與商業(yè)互聯(lián)網(wǎng)的設(shè)計(jì),”他說?!八麄儾幌M箝T?!?/p>
本文由杭州網(wǎng)站建設(shè)翻譯
©2000-2022 杭州蒙特信息技術(shù)有限公司版權(quán)所有
Mountor、蒙特是Mountor Corp.的注冊商標(biāo)。