您的位置: 网界网 > 安全 > 正文

谁应该为“心脏滴血”负主要责任?

2014年04月24日 03:01:01 | 作者:blackscreen | 来源:网界网

摘要:到底谁该为“心脏滴血”漏洞负责,这是安全界最近争论的焦点之一。大家众说纷纭,靠谱的不靠谱的,说什么的都有。就在这个时候,“史上最伟大”的程序猿出现了――他就是Robin Seggelmann。Seggelmann说,你们都别吵了,那段Op...

标签
漏洞
开源
心脏滴血
OpenSSL

到底谁该为“心脏滴血漏洞负责,这是安全界最近争论的焦点之一。大家众说纷纭,靠谱的不靠谱的,说什么的都有。就在这个时候,“史上最伟大”的程序猿出现了——他就是Robin Seggelmann。Seggelmann说,你们都别吵了,那段OpenSSL问题代码就是我写的。

“我写了那段代码,忽略了一个必要的验证,其实就是疏忽了,” Seggelmann对《卫报》说,“然后在代码验证阶段犯了同样的问题,这个问题在版本发布时仍旧存在。”

不管Seggelmann的这个“疏忽”(Oversight)对人类社会到底造成了多么严重的后果,他无疑是一个勇敢的攻城狮。甭说别的,换上你,你敢承认吗?

很多人借此大力抨击开源社区:尼玛都是瞎子吗?不是说任何BUG逃不过开源社区几百万程序猿的眼睛吗?这次尼玛怎么没人看出来呢?

勇敢的程序猿Seggelmann不这么认为。他充分肯定了开源社区。他认为最根本的问题不在开源这种形式,不仅如此,事实上开源社区太需要更多的资金和资助。开源社区表面看起来红红火火,实际上很多社区都面临生存的挑战。

这和CAST的Peter Pizzutillo的观点不谋而合。Pizzutillo认为开源社区的重大问题正是源于大多人的不劳而获。“90%的网站只是拷走代码,然后拍拍屁股就走了,不会对开源社区做任何贡献,” Pizzutillo忿然道,“开源社区远不象以前那样活跃,现在只剩下一小部分狂热的开发者,归罪于开源社区自身是不公平的。此外,只有开源社区,没有开放测试社区,这就不行了。开源社区只有在代码的索取者同时也是代码的贡献/反馈者的前提下才可能长期有效运作”。

更为激进的批评者认为诸如Google,Cisco,BlackBerry和Juniper这些“滴血漏洞”的受害者公司纯属咎由自取。“他们就是活该!从OpenSSL拷走代码,尼玛不测试一下就用了?”批评者称,很多大公司的程序猿直接从诸如OpenSSL这样的开源社区拷贝代码,然后不经过必要的安全测试就上线了。因此,一个开放源代码漏洞成为众多网站的通病是很正常的事情。

普遍的观点是,指望开源社区进行全面和细致的代码安全性测试是非常不现实的。很多人因此提议,类似Google这样的大公司应该拿些钱出来资助开源社区。开源社区有钱了,可以建立更为完善的机制,可以吸引更多的代码高手,这样一来,相应的安全测试机制就可以自然而然地形成。

观点貌似有些道理。不管开源还是不开源,Seggelmann一定不是第一个编写出存在如此重大bug的程序猿,也肯定不是最后一个。开源社区存在的安全问题和解决方法的讨论因此番“心脏滴血”漏洞的爆发,显得比以往都更急迫。

[责任编辑:鹿宁宁 lu_ningning]

我也说几句