杭州網(wǎng)站建設(shè)蒙特信息 2014-4-21 譯
上周的Heartbleed網(wǎng)絡(luò)錯(cuò)誤揭示了一個(gè)驚人的事實(shí)。軟件保護(hù)銀行、電子郵件、社交媒體和政府維護(hù)的只有少數(shù)人。
他們都是志愿者。且只有一個(gè)它作為一個(gè)全職工作。
愛是OpenSSL的勞動(dòng),一個(gè)免費(fèi)的程序,獲得了大量的在線交流。和兩年前這是一個(gè)微小的編碼錯(cuò)誤導(dǎo)致Heartbleed錯(cuò)誤,一個(gè)洞,讓攻擊者可以窺視到電腦。上周在錯(cuò)誤被迫緊急變化等主要網(wǎng)站 臉譜網(wǎng) (神奇動(dòng)物, 財(cái)富500強(qiáng)), 谷歌 (google, 財(cái)富500強(qiáng))和 雅虎 (yahoo, 財(cái)富500強(qiáng)).
但安全專家說OpenSSL是嚴(yán)重資金不足,人手不足,很大程度上被忽視。
錯(cuò)誤直到最近才發(fā)現(xiàn),因?yàn)镺penSSL軟件基金會(huì)沒有正確地??查每一個(gè)變化的資源軟件,目前近一百萬(wàn)行代碼。然而程序警衛(wèi)絕大部分我們的商業(yè)和政府——包括武器系統(tǒng)和智能手機(jī),索賠的基礎(chǔ)。
相關(guān)故事:Heartbleed錯(cuò)誤解釋道
“神秘不是幾個(gè)勞累志愿者錯(cuò)過了這個(gè)bug,神秘的是為什么沒有發(fā)生更頻繁,”史蒂夫?侯爵基金會(huì)的主席說一封公開信.
當(dāng)權(quán)衡網(wǎng)絡(luò)安全的重要性,OpenSSL極少的預(yù)算。它從未收到超過100萬(wàn)美元一年,侯爵說。唯一的聯(lián)邦政府的支持上市的在線是一個(gè)從美國(guó)國(guó)防部20000美元的續(xù)約合同。
而從國(guó)土安全部基金會(huì)收到錢, Citrix (頗具啟發(fā)性)和其他人來(lái)說,絕大多數(shù)的資金是來(lái)自特定work-for-hire合同。公司希望某個(gè)功能添加在這里,一個(gè)特定的函數(shù)。它使開發(fā)人員很忙。但侯爵說沒有錢向評(píng)審代碼或執(zhí)行審計(jì)。
事實(shí)上,唯一的人在這個(gè)全職工作是斯蒂芬?漢森極其私人生活在英國(guó)數(shù)學(xué)家稱為侯爵置評(píng)。只有少數(shù)其他開發(fā)人員投入與任何一致性,和侯爵告訴CNN他們的總勞動(dòng)也許兩個(gè)全職工人。
黑客是如何擊敗Heartbleed錯(cuò)誤
即使在Heartbleed之后,該基金會(huì)只收到了9000美元,引發(fā)了侯爵公開免費(fèi)使用OpenSSL的公司。
“我看著你,財(cái)富1000強(qiáng)企業(yè),”他寫到。
Heartbleed之后,這對(duì)OpenSSL缺乏資金可能敲響了警鐘。
創(chuàng)業(yè)公司和大公司經(jīng)常使用開源軟件,因?yàn)樗淖杂煞植己统杀尽5麄兒苌儇暙I(xiàn)以??元或捐贈(zèng)。沒有重要的外界幫助,捐贈(zèng)專用人員和金錢沒有附加條件——這樣的開源項(xiàng)目都處于無(wú)果而終的風(fēng)險(xiǎn)或吹在我們的臉上,說Azorian網(wǎng)絡(luò)安全創(chuàng)始人查爾斯Tendell。
“如果你買了你的車,知道這是由志愿者,你會(huì)是什么感覺呢?”Tendell問道。
少數(shù)公司提供一些幫助。Facebook和微軟贊助bug賞金通過HackerOne程序——基本上支付黑客找到錯(cuò)誤,需要修復(fù)。和谷歌安全研究員,Heartbleed梅赫塔,誰(shuí)發(fā)現(xiàn)了bug。
其他人都相信是時(shí)候芯片。最初反應(yīng)的馬克?Gaffan cloud-security提供者的創(chuàng)始人之一Incapsula,是:“你希望什么?你有這個(gè)免費(fèi)。你得到你支付?!暗聦?shí)證明他的公司依賴于OpenSSL。當(dāng)被問及他會(huì)以身作則,Gaffan承諾他的公司將首次捐贈(zèng)。
相關(guān)故事:Post-Heartbleed,現(xiàn)在改變這些密碼
最近的恐慌已經(jīng)白宮的注意。現(xiàn)在奧巴馬政府“采取強(qiáng)硬看看OpenSSL等廣泛使用的工具是否有更多的聯(lián)邦政府需要做的,包括支持研究和發(fā)展,“國(guó)家安全委員會(huì)發(fā)言人勞拉·盧卡斯Magnuson說。
然而,有一個(gè)捕捉。政府只能如此接近沒有引發(fā)擔(dān)憂,實(shí)際上破壞了網(wǎng)絡(luò)通信的安全,特別是在愛德華·斯諾登的披露國(guó)家安全局的廣泛的監(jiān)控程序。前國(guó)家安全局加密工程師Randy Sabett現(xiàn)在科技隱私律師厄爾律師事務(wù)所,希望開源社區(qū)將憂慮。
“公眾不希望政府參與商業(yè)互聯(lián)網(wǎng)的設(shè)計(jì),”他說?!八麄儾幌M箝T?!?/p>
本文由杭州網(wǎng)站建設(shè)翻譯
©2000-2022 杭州蒙特信息技術(shù)有限公司版權(quán)所有
Mountor、蒙特是Mountor Corp.的注冊(cè)商標(biāo)。