V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
glasslion
V2EX  ›  程序员

OpenSSL is not developed by a responsible team

  •  
  •   glasslion · 2015-02-03 00:01:01 +08:00 · 4226 次点击
    这是一个创建于 3581 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Like what OpenBSD is doing to OpenSSL? Donate to LibreSSL
    .

    13 条回复    2015-02-04 08:24:00 +08:00
    tsui
        1
    tsui  
       2015-02-03 00:07:43 +08:00
    果然小丑出来哗众取宠了
    blacktulip
        2
    blacktulip  
       2015-02-03 00:15:17 +08:00
    OK,按照楼主的说法

    “OpenSSL is not developed by a responsible team”
    “Donate to LibreSSL”

    这里隐藏了一个前提,就是说 “LibreSSL IS developed by a responsible team”

    那么问题来了,如果 LibreSSL 爆了漏洞,我因此遭受了损失,LibreSSL team 会 take responsibility 么?
    glasslion
        3
    glasslion  
    OP
       2015-02-03 01:08:26 +08:00   ❤️ 3
    Heartbleed 被爆之后,OpenSSL 基金会的主席在博客里把出bug的原因归咎于 OpenSSL 得到的捐助很少

    ref: http://veridicalsystems.com/blog/of-money-responsibility-and-pride/

    那么 OpenSSL 基金会 是不是真的穷呢

    OpenSSL 基金会和自由软件基金会, Apache基金会不同, 是一家营利性的IT 咨询公司。盈利状况还不错:
    The OpenSSL foundation appears to be a million dollar a year for-profit company doing FIPS consulting gigs. (Incorporated in Maryland)

    既然是每年盈利百万美元的商业公司, 虽然不敢苛求它把大部分的盈利投给 OpenSSL 项目, 但即使只拿出一小部分,也会和官方宣传里强调每年 2000 美元的捐助有巨大落差。

    Btw
    OpenSSL 基金会官网首页上的介绍是这样的:
    The OpenSSL Software Foundation (OSF) is a corporate entity representing the OpenSSL project for the purpose of providing financial support in the form of support contracts, consulting services, and donations.

    Ref:
    http://www.openbsd.org/papers/bsdcan14-libressl/mgp00008.txt
    http://blather.michaelwlucas.com/archives/2071?


    附带一句, 在 Heartbleed 前,OpenSSL 团队并没有向外界透露过其缺钱或是缺人。
    11
        4
    11  
       2015-02-03 01:14:38 +08:00   ❤️ 1
    @glasslion 好久没见到把「盈利」和「营利」用对的人了,赞一个。
    zhicheng
        5
    zhicheng  
       2015-02-03 03:54:37 +08:00
    楼主顶在风口浪尖说实话不安全,要知道大多数人是很容易被煽动的。
    至于 OpenSSL 怎么赚钱就不说了。如果你真的用 OpenSSL 写过代码,你*一定*不愿意给他们捐钱。
    phoenixlzx
        6
    phoenixlzx  
       2015-02-03 04:04:41 +08:00 via Android
    但是不管怎么说,现在半数以上的服务器在使用 OpenSSL 。个人能力有限,赞助一点表达心意而已。毕竟用了这么久他们开发的东西。

    当时 LibreSSL 项目成立的时候记得还有不少人把它当笑话看,现在不知道如何了。

    .... 以及楼上别说那么恐怖啊
    JmmBite
        7
    JmmBite  
       2015-02-03 04:13:54 +08:00
    借用《武媚娘传奇》 的一句话:“这人哪,总是善于夸大自己的善意跟仇恨,却羞愧与自己的欲望。”
    aveline
        8
    aveline  
       2015-02-03 04:25:09 +08:00   ❤️ 1
    @phoenixlzx 写过觉得 API 设计很烂是真的 ... 不过我本来也没有想给他们捐钱 233
    missdeer
        9
    missdeer  
       2015-02-03 09:12:15 +08:00
    @aveline @phoenixlzx 同8楼,我还以为所有加密码学函数库都一样难用呢。
    freegink
        10
    freegink  
       2015-02-03 12:35:26 +08:00
    @aveline 听起来像嘲笑windows 3.1 设计的难看一样
    JingXiao
        11
    JingXiao  
       2015-02-03 14:16:45 +08:00
    前面刚看到老罗捐100W给OpenSSL的帖子,里面有这么好像有这么一段,摘自

    http://m.jiemian.com/article/231843.html

    史蒂夫·马奎斯能理解这些批评:互联网上那么多人,总会有某人因为某事而感到不满。可他很想对他们说:“抱歉,我们搞砸了。要不,退你们钱好了。”他接着想了想,“啊哦,你们压根没付过钱呀。”

    ......
    semicircle21
        12
    semicircle21  
       2015-02-03 22:04:33 +08:00   ❤️ 1
    @missdeer @aveline @zhicheng
    同感, openssl 的 api 设计的非常烂, 不那么出名的 Crypto++ 和 Bouncy Castle 系列就完全不在一个档次上.

    @freegink 这个道理是说不通的, 那么多年没有进步是不对的, 就好像 2015 年大家还在用 windows 3.1 一样.
    freegink
        13
    freegink  
       2015-02-04 08:24:00 +08:00
    @semicircle21 其实更应该说其他的没有进步。否则也不会到2015年了,三分之二的web server还在用openssl。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2783 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 02:21 · PVG 10:21 · LAX 18:21 · JFK 21:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.