杭州網(wǎng)站建設(shè)蒙特信息 2014-4-21 譯
上周的Heartbleed網(wǎng)絡(luò)錯誤揭示了一個驚人的事實(shí)。軟件保護(hù)銀行�����、電子郵件���、社交媒體和政府維護(hù)的只有少數(shù)人����。
他們都是志愿者�。且只有一個它作為一個全職工作。
愛是OpenSSL的勞動,一個免費(fèi)的程序,獲得了大量的在線交流�����。和兩年前這是一個微小的編碼錯誤導(dǎo)致Heartbleed錯誤,一個洞,讓攻擊者可以窺視到電腦��。上周在錯誤被迫緊急變化等主要網(wǎng)站 臉譜網(wǎng) (神奇動物, 財(cái)富500強(qiáng)), 谷歌 (google, 財(cái)富500強(qiáng))和 雅虎 (yahoo, 財(cái)富500強(qiáng)).
但安全專家說OpenSSL是嚴(yán)重資金不足,人手不足,很大程度上被忽視���。
錯誤直到最近才發(fā)現(xiàn),因?yàn)镺penSSL軟件基金會沒有正確地??查每一個變化的資源軟件,目前近一百萬行代碼�。然而程序警衛(wèi)絕大部分我們的商業(yè)和政府——包括武器系統(tǒng)和智能手機(jī),索賠的基礎(chǔ)。
相關(guān)故事:Heartbleed錯誤解釋道
“神秘不是幾個勞累志愿者錯過了這個bug,神秘的是為什么沒有發(fā)生更頻繁,”史蒂夫?侯爵基金會的主席說一封公開信.
當(dāng)權(quán)衡網(wǎng)絡(luò)安全的重要性,OpenSSL極少的預(yù)算���。它從未收到超過100萬美元一年,侯爵說�����。唯一的聯(lián)邦政府的支持上市的在線是一個從美國國防部20000美元的續(xù)約合同�����。
而從國土安全部基金會收到錢, Citrix (頗具啟發(fā)性)和其他人來說,絕大多數(shù)的資金是來自特定work-for-hire合同����。公司希望某個功能添加在這里,一個特定的函數(shù)��。它使開發(fā)人員很忙�����。但侯爵說沒有錢向評審代碼或執(zhí)行審計(jì)���。
事實(shí)上,唯一的人在這個全職工作是斯蒂芬?漢森極其私人生活在英國數(shù)學(xué)家稱為侯爵置評。只有少數(shù)其他開發(fā)人員投入與任何一致性,和侯爵告訴CNN他們的總勞動也許兩個全職工人���。
黑客是如何擊敗Heartbleed錯誤
即使在Heartbleed之后,該基金會只收到了9000美元,引發(fā)了侯爵公開免費(fèi)使用OpenSSL的公司��。
“我看著你,財(cái)富1000強(qiáng)企業(yè),”他寫到��。
Heartbleed之后,這對OpenSSL缺乏資金可能敲響了警鐘��。
創(chuàng)業(yè)公司和大公司經(jīng)常使用開源軟件,因?yàn)樗淖杂煞植己统杀?。但他們很少貢獻(xiàn)以??元或捐贈。沒有重要的外界幫助,捐贈專用人員和金錢沒有附加條件——這樣的開源項(xiàng)目都處于無果而終的風(fēng)險或吹在我們的臉上,說Azorian網(wǎng)絡(luò)安全創(chuàng)始人查爾斯Tendell�����。
“如果你買了你的車,知道這是由志愿者,你會是什么感覺呢?”Tendell問道�。
少數(shù)公司提供一些幫助。Facebook和微軟贊助bug賞金通過HackerOne程序——基本上支付黑客找到錯誤,需要修復(fù)��。和谷歌安全研究員,Heartbleed梅赫塔,誰發(fā)現(xiàn)了bug��。
其他人都相信是時候芯片���。最初反應(yīng)的馬克?Gaffan cloud-security提供者的創(chuàng)始人之一Incapsula,是:“你希望什么?你有這個免費(fèi)��。你得到你支付�����?����!暗聦?shí)證明他的公司依賴于OpenSSL����。當(dāng)被問及他會以身作則,Gaffan承諾他的公司將首次捐贈。
相關(guān)故事:Post-Heartbleed,現(xiàn)在改變這些密碼
最近的恐慌已經(jīng)白宮的注意?��,F(xiàn)在奧巴馬政府“采取強(qiáng)硬看看OpenSSL等廣泛使用的工具是否有更多的聯(lián)邦政府需要做的,包括支持研究和發(fā)展,“國家安全委員會發(fā)言人勞拉·盧卡斯Magnuson說�����。
然而,有一個捕捉�����。政府只能如此接近沒有引發(fā)擔(dān)憂,實(shí)際上破壞了網(wǎng)絡(luò)通信的安全,特別是在愛德華·斯諾登的披露國家安全局的廣泛的監(jiān)控程序。前國家安全局加密工程師Randy Sabett現(xiàn)在科技隱私律師厄爾律師事務(wù)所,希望開源社區(qū)將憂慮����。
“公眾不希望政府參與商業(yè)互聯(lián)網(wǎng)的設(shè)計(jì),”他說?��!八麄儾幌M箝T��?����!?/p>
本文由杭州網(wǎng)站建設(shè)翻譯
杭州網(wǎng)站建設(shè)蒙特信息 2014-4-21 譯
上周的Heartbleed網(wǎng)絡(luò)錯誤揭示了一個驚人的事實(shí)����。軟件保護(hù)銀行、電子郵件���、社交媒體和政府維護(hù)的只有少數(shù)人�����。
他們都是志愿者�。且只有一個它作為一個全職工作�。
愛是OpenSSL的勞動,一個免費(fèi)的程序,獲得了大量的在線交流。和兩年前這是一個微小的編碼錯誤導(dǎo)致Heartbleed錯誤,一個洞,讓攻擊者可以窺視到電腦�����。上周在錯誤被迫緊急變化等主要網(wǎng)站 臉譜網(wǎng) (神奇動物, 財(cái)富500強(qiáng)), 谷歌 (google, 財(cái)富500強(qiáng))和 雅虎 (yahoo, 財(cái)富500強(qiáng)).
但安全專家說OpenSSL是嚴(yán)重資金不足,人手不足,很大程度上被忽視。
錯誤直到最近才發(fā)現(xiàn),因?yàn)镺penSSL軟件基金會沒有正確地??查每一個變化的資源軟件,目前近一百萬行代碼����。然而程序警衛(wèi)絕大部分我們的商業(yè)和政府——包括武器系統(tǒng)和智能手機(jī),索賠的基礎(chǔ)。
相關(guān)故事:Heartbleed錯誤解釋道
“神秘不是幾個勞累志愿者錯過了這個bug,神秘的是為什么沒有發(fā)生更頻繁,”史蒂夫?侯爵基金會的主席說一封公開信.
當(dāng)權(quán)衡網(wǎng)絡(luò)安全的重要性,OpenSSL極少的預(yù)算���。它從未收到超過100萬美元一年,侯爵說��。唯一的聯(lián)邦政府的支持上市的在線是一個從美國國防部20000美元的續(xù)約合同�����。
而從國土安全部基金會收到錢, Citrix (頗具啟發(fā)性)和其他人來說,絕大多數(shù)的資金是來自特定work-for-hire合同�。公司希望某個功能添加在這里,一個特定的函數(shù)�����。它使開發(fā)人員很忙��。但侯爵說沒有錢向評審代碼或執(zhí)行審計(jì)�����。
事實(shí)上,唯一的人在這個全職工作是斯蒂芬?漢森極其私人生活在英國數(shù)學(xué)家稱為侯爵置評��。只有少數(shù)其他開發(fā)人員投入與任何一致性,和侯爵告訴CNN他們的總勞動也許兩個全職工人�����。
黑客是如何擊敗Heartbleed錯誤
即使在Heartbleed之后,該基金會只收到了9000美元,引發(fā)了侯爵公開免費(fèi)使用OpenSSL的公司�。
“我看著你,財(cái)富1000強(qiáng)企業(yè),”他寫到。
Heartbleed之后,這對OpenSSL缺乏資金可能敲響了警鐘���。
創(chuàng)業(yè)公司和大公司經(jīng)常使用開源軟件,因?yàn)樗淖杂煞植己统杀?�。但他們很少貢獻(xiàn)以??元或捐贈��。沒有重要的外界幫助,捐贈專用人員和金錢沒有附加條件——這樣的開源項(xiàng)目都處于無果而終的風(fēng)險或吹在我們的臉上,說Azorian網(wǎng)絡(luò)安全創(chuàng)始人查爾斯Tendell��。
“如果你買了你的車,知道這是由志愿者,你會是什么感覺呢?”Tendell問道�。
少數(shù)公司提供一些幫助�����。Facebook和微軟贊助bug賞金通過HackerOne程序——基本上支付黑客找到錯誤,需要修復(fù)����。和谷歌安全研究員,Heartbleed梅赫塔,誰發(fā)現(xiàn)了bug。
其他人都相信是時候芯片�。最初反應(yīng)的馬克?Gaffan cloud-security提供者的創(chuàng)始人之一Incapsula,是:“你希望什么?你有這個免費(fèi)�����。你得到你支付��?!暗聦?shí)證明他的公司依賴于OpenSSL���。當(dāng)被問及他會以身作則,Gaffan承諾他的公司將首次捐贈���。
相關(guān)故事:Post-Heartbleed,現(xiàn)在改變這些密碼
最近的恐慌已經(jīng)白宮的注意。現(xiàn)在奧巴馬政府“采取強(qiáng)硬看看OpenSSL等廣泛使用的工具是否有更多的聯(lián)邦政府需要做的,包括支持研究和發(fā)展,“國家安全委員會發(fā)言人勞拉·盧卡斯Magnuson說���。
然而,有一個捕捉����。政府只能如此接近沒有引發(fā)擔(dān)憂,實(shí)際上破壞了網(wǎng)絡(luò)通信的安全,特別是在愛德華·斯諾登的披露國家安全局的廣泛的監(jiān)控程序����。前國家安全局加密工程師Randy Sabett現(xiàn)在科技隱私律師厄爾律師事務(wù)所,希望開源社區(qū)將憂慮。
“公眾不希望政府參與商業(yè)互聯(lián)網(wǎng)的設(shè)計(jì),”他說��?����!八麄儾幌M箝T��?����!?/p>
本文由杭州網(wǎng)站建設(shè)翻譯
