前幾天，在朋友圈看到轉(zhuǎn)來的原發(fā)于“界面“關(guān)于OpenSSL和開源項(xiàng)目的“隱形戰(zhàn)友”一文。開始覺得不過是炒冷飯，“心臟出血”這個(gè)OpenSSL嚴(yán)重漏洞，從去年（2014）4月初被公眾知道，到現(xiàn)在已有將近一年了，這件事已經(jīng)算告一段落。盡管這篇文章充滿了誤解、硬傷和企業(yè)宣傳，我也沒太在意。結(jié)果，今天看到界面的網(wǎng)站上竟然還在用支付寶給OpenSSL募捐，這就荒唐了。之前有一些朋友說，無論怎么樣，多一些關(guān)注總是好的，從現(xiàn)在的結(jié)果看，界面的文章造成的壞影響更大，這篇文章扭曲了開源社區(qū)的本來狀況，對(duì)其他組織和企業(yè)也不公平。開源軟件、安全、隱私確實(shí)是大部分普通用戶不了解的領(lǐng)域，但記者要寫一篇文章，總應(yīng)該對(duì)歷史有個(gè)基本了解。

界面網(wǎng)絡(luò)的創(chuàng)始人何力先生，曾經(jīng)創(chuàng)建了經(jīng)濟(jì)觀察報(bào)和第一財(cái)經(jīng)，都是不錯(cuò)的媒體，再次創(chuàng)業(yè)界面，也備受關(guān)注?？上Ы缑孢@篇文章，給我?guī)淼氖容^大。更好笑的是，當(dāng)年羅永浩對(duì)戰(zhàn)王自如的時(shí)候，羅粉說王自如的公司是雷軍投資的，所以王自如一定是傾向小米的。而今天，界面，這個(gè)小米參與投資的媒體，登了一篇錘子的軟文。這兩者之間對(duì)比，實(shí)在讓人哭笑不得。

我想聊聊開源軟件的模式和OpenSSL存在的問題，以及到底誰在捍衛(wèi)我們的隱私，這些都是界面的文章弄錯(cuò)的地方。我也會(huì)寫到在“心臟出血“這個(gè)漏洞從發(fā)現(xiàn)到公布的過程中，驚心動(dòng)魄和爭(zhēng)分奪秒的故事，這個(gè)過程暴露出OpenSSL嚴(yán)重的管理問題。

先從開源說起。

1 開源是一種商業(yè)模式

界面一文，把OpenSSL描述成沒有捐款就沒法生存的組織，但開源組織并不是這樣，開源和免費(fèi)一樣，是一種商業(yè)模式，他們之間有諸多不同，但有一個(gè)基本的相同點(diǎn)，就是都希望盡量多的人免費(fèi)使用它。大家已經(jīng)免費(fèi)使用了很多互聯(lián)網(wǎng)服務(wù)，對(duì)于免費(fèi)模式應(yīng)該非常理解，我們從未給Google付款，從未為我們每一次搜索買單。但我們搜索的行為，我們的注意力、數(shù)據(jù)，都會(huì)變成Google的廣告收入。我們每一次使用Google搜索，都是在幫助Google賺錢，盡管沒直接付錢給他們。

開源軟件也是如此。開源軟件的世界是激烈競(jìng)爭(zhēng)的，任何一個(gè)組織，都可以從當(dāng)前代碼分支一份繼續(xù)開發(fā)新的版本，這個(gè)行為叫做Fork。一個(gè)開源組織要想生存下去，最重要的基礎(chǔ)就是普遍被使用，不然很快就會(huì)被競(jìng)爭(zhēng)者替代。一個(gè)軟件被普遍被使用之后，就會(huì)因此衍生出相關(guān)服務(wù)，團(tuán)隊(duì)可以通過這些服務(wù)獲得比較好的收入，商業(yè)模式就成型了。最著名的例子應(yīng)該算是Red Hat Linux，中文叫做紅帽，他們免費(fèi)提供Linux發(fā)行版，企業(yè)可以通過付費(fèi)訂閱獲得技術(shù)支持，他們收入相當(dāng)不錯(cuò)，現(xiàn)在已經(jīng)是一家市值100多億美金的上市公司。

OpenSSL采用的也是同樣的開源和服務(wù)收費(fèi)的方式運(yùn)轉(zhuǎn)，OpenSSL基金會(huì)的負(fù)責(zé)人Steve說他們最多一年有將近100萬美金的商業(yè)咨詢項(xiàng)目（資金來源是美國(guó)國(guó)防部和美國(guó)國(guó)土安全部），這已經(jīng)是相當(dāng)不錯(cuò)的狀況。開源軟件的全職工作人員都不會(huì)太多，大部分項(xiàng)目的核心貢獻(xiàn)者同時(shí)也都會(huì)承擔(dān)商業(yè)性項(xiàng)目，這是很正常的情況。在開源社區(qū)中，像Linux創(chuàng)始人Linus這樣全職為開源項(xiàng)目工作的程序員，反而不是普遍現(xiàn)象，Linus得以這么做，一方面是Linux基金會(huì)財(cái)力豐厚，另外一方面也是因?yàn)長(zhǎng)inux衍生項(xiàng)目太多，影響力也太大，Linus本身又是精神領(lǐng)袖，他不得不全職為L(zhǎng)inux工作。同時(shí)從事商業(yè)服務(wù)和開源項(xiàng)目，并不是界面那篇文章描述的那么悲情。

再來個(gè)例子，最好的開源UNIX操作系統(tǒng)FreeBSD，其核心開發(fā)者Poul-Henning Kamp（社區(qū)內(nèi)叫他phk）到今天仍然承擔(dān)商業(yè)性項(xiàng)目。即使從1994年到現(xiàn)在，他的一直在FreeBSD代碼貢獻(xiàn)的排行榜上排第一，也仍然不是FreeBSD基金會(huì)的全職員工，他對(duì)自己的描述是“自雇”。phk在自己主頁(yè)上公開了最近正在做的一個(gè)商業(yè)項(xiàng)目，報(bào)酬每月3000美金。以O(shè)penSSL的項(xiàng)目規(guī)模，有一個(gè)全職開發(fā)者已經(jīng)是相當(dāng)不錯(cuò)的狀況了。

為什么有這么多人會(huì)放棄傳統(tǒng)的賣軟件的方式，轉(zhuǎn)向免費(fèi)軟件和開源軟件？除了個(gè)人興趣和理想之外，開源軟件是一個(gè)成熟可靠的商業(yè)模式，這個(gè)商業(yè)模式有自己的收入方式和生態(tài)。界面這篇文章極力制造普通互聯(lián)網(wǎng)用戶對(duì)于OpenSSL的愧疚感，指責(zé)普通用戶從來沒付錢給他們，這是一種道德綁架。任何一個(gè)用戶，只要在使用OpenSSL，就是在幫助這個(gè)組織獲得市場(chǎng)份額，在競(jìng)爭(zhēng)中獲得更大優(yōu)勢(shì)，無論有沒有直接捐款給他們，用戶都已經(jīng)做出了貢獻(xiàn)。

2 為什么OpenSSL之前只能收到很少捐款？——基金會(huì)、捐贈(zèng)和募資

雖然開源組織可以通過商業(yè)服務(wù)來讓自己生存的不錯(cuò)，但是一般也都很愿意接受捐款。有足夠的捐款，可以少做一些商業(yè)項(xiàng)目，把精力往開源軟件方面傾斜一些，這當(dāng)然是好事。大部分軟件和IT企業(yè)，每年都有不小的一筆錢用來支持開源項(xiàng)目們，同時(shí)也爭(zhēng)取自己在開源社區(qū)的影響力和發(fā)言權(quán)，開源組織們每年接受的捐款按照各自項(xiàng)目狀況，都不算少。但為什么一年前，OpenSSL這個(gè)項(xiàng)目每年只能收到幾千美金的捐款呢？答案很簡(jiǎn)單，因?yàn)樗麄儚膩頉]有搞過募捐活動(dòng)。

開源組織通常會(huì)設(shè)立一個(gè)注冊(cè)為非盈利機(jī)構(gòu)的基金會(huì)，通過這個(gè)基金會(huì)募集資金、組織活動(dòng)、推廣自己的開源產(chǎn)品，視項(xiàng)目情況給專職或者兼職開發(fā)者付報(bào)酬，其中募集資金是基金會(huì)相當(dāng)重要的工作。如果經(jīng)常使用維基百科的用戶，應(yīng)該會(huì)有印象。維基百科每年都有一個(gè)固定時(shí)段，會(huì)在網(wǎng)站上放置非常明顯的籌資通告，設(shè)定好本年度預(yù)算目標(biāo)，讓大家捐款。達(dá)到數(shù)額之后，捐款就停止，不再接受更多。幾乎所有開源組織，都會(huì)通過這種方式募集捐贈(zèng)。

OpenSSL基金會(huì)從來沒公開募集過資金，如果沒有捐款目標(biāo)，沒公開募捐，就很難有成批的捐款進(jìn)入，畢竟，需要資金的項(xiàng)目實(shí)在太多了。對(duì)于OpenSSL這種項(xiàng)目，募資相當(dāng)容易，他們只需公開發(fā)一份籌款通知，各大企業(yè)的錢就可以立刻到手。當(dāng)“心臟出血“發(fā)生之后，諸多企業(yè)驚訝的不是只有一個(gè)全職開發(fā)者這件事，而是，為什么你們一直沒籌款。OpenSSL從來沒公布過自己的財(cái)務(wù)狀況，沒有設(shè)置過募款目標(biāo)，這讓人們?nèi)绾稳ゾ杩罱o他？

更有意思的是，OpenSSL基金會(huì)并沒有注冊(cè)為非盈利機(jī)構(gòu)，而是一個(gè)盈利性企業(yè)。捐助OpenSSL的人和企業(yè)無法從美國(guó)政府獲得減稅。按照他們自己的說法，是他們沒有時(shí)間維護(hù)一個(gè)非盈利組織，這不是個(gè)好理由。對(duì)于一個(gè)開源項(xiàng)目，注冊(cè)一個(gè)非盈利組織比注冊(cè)公司難不了多少，再說，基金會(huì)之所以成立，不就是為了去做這些事嗎？盈利性企業(yè)已經(jīng)定義了他們是希望靠商業(yè)活動(dòng)獲得收入，而不是靠捐款生存。捐款給盈利性企業(yè)，錢的利用率就會(huì)變低很多，按照美國(guó)稅法粗算，最多的情況下要多交出30%~40%的稅，是巨大的浪費(fèi)。這也解釋了為什么美國(guó)企業(yè)很少捐款給OpenSSL基金會(huì)。

不過，就算如此，事情也是在快速好轉(zhuǎn)的?！靶呐K出血“事件之后，Linux基金會(huì)在極短的時(shí)間內(nèi)就成立了核心基礎(chǔ)架構(gòu)聯(lián)盟（CII, Core Infrastructure Initiative），這個(gè)聯(lián)盟和以往最大的區(qū)別是，他們主動(dòng)挑選缺乏資金的重要開源項(xiàng)目進(jìn)行資助，無論對(duì)方是否募款，OpenSSL是他們資助的第一個(gè)項(xiàng)目。這個(gè)聯(lián)盟集結(jié)了世界各國(guó)的科技企業(yè)共同出資，其中包括了Google、Amazon、Facebook、思科、富士、惠普、IBM…目前已經(jīng)有了10多家企業(yè)。其中中國(guó)企業(yè)只有一家，是華為。特別值得一提的是，除了給CII出資，華為也單獨(dú)資助了OpenSSL基金會(huì)每年5萬美金?？上В缑娴奈恼滤坪醢讶A為忘了。參加CII聯(lián)盟的企業(yè)每年出至少10萬美金，按照2014年的數(shù)字，CII每年總共有170萬美金基金可以使用，第一期資金主要用來資助OpenSSL和OpenSSH，資金相當(dāng)富裕。

上面這些事情都發(fā)生在去年5月，也就是“心臟出血“事件之后的一個(gè)多月時(shí)間里。無論是各大科技企業(yè)，還是Linux基金會(huì)，他們的行動(dòng)都非常迅速，這是開源世界的做事方式和效率。到去年5月，OpenSSL的資金問題就算解決了。從這個(gè)結(jié)果看，之前OpenSSL沒有得到足夠捐款的直接原因就是其基金會(huì)失職。

做為對(duì)比，再看看去年OpenBSD募款的經(jīng)歷。OpenBSD是最關(guān)注安全的開源Unix操作系統(tǒng)，他們同時(shí)也是OpenSSH的維護(hù)者（看到SS是不是覺得和加密也有關(guān)系？沒錯(cuò)，這也是一種加密工具，只不過不是給客戶用的，是給服務(wù)器管理者和程序員用的），去年的募款目標(biāo)僅僅是15萬加幣。相比起來，170萬美金實(shí)在已經(jīng)是太多了，如果CII給的錢不夠讓OpenSSL變好，恐怕再多的錢也不會(huì)好了。

除了直接捐錢，各大企業(yè)支持開源項(xiàng)目的方式還有很多，比如捐獻(xiàn)自己?jiǎn)T工的時(shí)間。任何一個(gè)開源項(xiàng)目中，都有來自各大公司工程師的貢獻(xiàn)，這些公司給自己?jiǎn)T工發(fā)薪水，他們寫的代碼會(huì)回饋給開源項(xiàng)目，比起捐款，這是更直接的支持。比如去年發(fā)現(xiàn)“心臟出血”漏洞的工程師，是Google員工，他在上班時(shí)間全職對(duì)OpenSSL代碼做安全審計(jì)，找到了這個(gè)Bug。他確實(shí)不是OpenSSL基金會(huì)的直接雇員，但這份由Google買單的全職勞動(dòng)成果是貢獻(xiàn)給了OpenSSL項(xiàng)目的，說所有大公司都沒支持過這個(gè)項(xiàng)目，未免太不公平。而這種錯(cuò)誤言論，正是界面文章宣傳的論調(diào)，按照這篇文章的說法，一個(gè)中國(guó)小公司救了全世界互聯(lián)網(wǎng)用戶，這是何等荒唐。

說到這里，再說說捐款問題。我非常反對(duì)界面渲染的這種捐款情緒，這是利用人們的愧疚捐款。錢是非常寶貴的資源，需要用錢的地方太多了，正確的捐款是在捐款者對(duì)項(xiàng)目的充分了解后，基于對(duì)其價(jià)值觀和方向認(rèn)同，按照自己的愿望進(jìn)行長(zhǎng)期而小額的固定捐助。在這個(gè)過程中，稅務(wù)問題也是必須要考慮的，這直接決定了資金利用率，比如美國(guó)稅務(wù)居民，捐贈(zèng)給OpenSSL，資金的利用率就很低，而捐款給CII再由他們資助OpenSSL，就可以得到一部分免稅，利用率高了很多，如果是加拿大稅務(wù)居民，想對(duì)操作系統(tǒng)方面的項(xiàng)目捐款，應(yīng)該首選OpenBSD，因?yàn)樗羌幽么笞?cè)的非盈利組織。捐款是一個(gè)非常理性的行為，隱藏部分信息，利用人們對(duì)開源項(xiàng)目的不了解，煽情，制造愧疚感，這是不可持續(xù)的，也是不公平的，這些都是界面的文章和之后的運(yùn)營(yíng)所做的事情。

3 OpenSSL的問題和未來

界面的文章中說基層程序員批評(píng)他們的代碼“令人作嘔”，實(shí)際上，說這句話的人是Theo de Raadt，是OpenBSD項(xiàng)目的創(chuàng)始人，他可不是“基層程序員”，而是操作系統(tǒng)領(lǐng)域最好的計(jì)算機(jī)科學(xué)家之一。OpenBSD開發(fā)者們并沒止步于批評(píng)，而是立刻決定從當(dāng)前OpenSSL版本創(chuàng)建一個(gè)叫做LibreSSL的獨(dú)立項(xiàng)目，從清理OpenSSL的代碼重新開始。他們?cè)诘谝恢芫蛣h除了9萬多行代碼，OpenSSL整個(gè)項(xiàng)目只有38萬行，相當(dāng)于刪減了近1/4的代碼。可見Theo的批評(píng)并不是順口胡說。幾年來，OpenSSL出過各種漏洞，在“心臟出血“之后，仍然有隱藏了10年以上的漏洞被發(fā)現(xiàn)，很多熟悉這個(gè)項(xiàng)目的人看法都是“除了重寫別無辦法”。

OpenBSD有一份文檔說明了他們?cè)谇謇磉^程中遇到的問題，去掉其中的技術(shù)細(xì)節(jié)，我把主要觀點(diǎn)列在這里，這些也基本是業(yè)內(nèi)主流看法：

OpenSSL的代碼混亂不堪，難以閱讀。開源軟件一般通過讓更多人看到代碼來發(fā)現(xiàn)bug，如果代碼難以閱讀，這個(gè)辦法就失效了。

他們使用了大量自己的代碼封裝和編程風(fēng)格，這些代碼有的有bug，有的不符合現(xiàn)代主流做法。這讓常見的檢測(cè)工具沒法應(yīng)用于他們的項(xiàng)目，更難以發(fā)現(xiàn)Bug。

他們的開發(fā)者更關(guān)心增加功能，而不是維護(hù)和修補(bǔ)。

其他開發(fā)者提供的修改和貢獻(xiàn)，一般不會(huì)被合并到最終代碼里。

很多用戶指出的Bug，包括一些相當(dāng)嚴(yán)重的，公開放在追蹤系統(tǒng)里面長(zhǎng)達(dá)幾年，沒被修補(bǔ)。

其中存留了大量無用的舊代碼，比如給windows 2000之前的16位系統(tǒng)寫的兼容代碼，仍然包含在最新版本的OpenSSL中。

基于以上原因，OpenBSD認(rèn)為這個(gè)項(xiàng)目已經(jīng)沒法維護(hù)了，必須要重新開始。這就是他們創(chuàng)建一個(gè)分支，從清理代碼這種基礎(chǔ)工作開始的原因?？梢?，這個(gè)項(xiàng)目根本不是錢的問題，而是管理方式和社區(qū)文化有問題。比起來其他項(xiàng)目，他們?cè)谟幸粋€(gè)全職開發(fā)者和一個(gè)全職基金會(huì)主席的情況下還能響應(yīng)如此緩慢，實(shí)在更令人沮喪。順便說一句，做清理代碼這件事的OpenBSD開發(fā)者，也不是全職工作，他還在這份文檔前面特別注明了“可以被雇傭”。一年之后的今天，LibreSSL已經(jīng)基本算可用了，除了清理和改變了原有代碼風(fēng)格，他們也增加了一些更先進(jìn)的特性，看起來很有前途。另外，這個(gè)項(xiàng)目也很需要捐款，如果更認(rèn)同他們的做法，可以捐款給他們。

除此之外，OpenSSL公布“心臟出血“漏洞的過程也非常有問題。一般出現(xiàn)嚴(yán)重漏洞的流程，是先不對(duì)公眾公布，立即通知主流操作系統(tǒng)維護(hù)者和相關(guān)廠商，讓大家先修改，之后一起發(fā)布安全公告和升級(jí)。之所以這樣做，是因?yàn)槿绻僮飨到y(tǒng)不去打補(bǔ)丁，很多普通用戶知道漏洞也沒辦法修補(bǔ)，反而讓黑客們更容易利用這些漏洞。OpenSSL不是這么做的，在Google告知了他們漏洞之后，OpenSSL沒有告知任何一家操作系統(tǒng)廠商，反而奇怪的被幾家主要CDN廠商知道了，也就是說，在不知道哪個(gè)環(huán)節(jié)發(fā)生了泄密。之后開源社區(qū)中開始有關(guān)于這個(gè)重大Bug的傳言，直到這個(gè)時(shí)候，幾大操作系統(tǒng)仍然沒得到正式通知。又過了3天，OpenSSL才告知了Red Hat，當(dāng)天，參與處理這件事的一位Red Hat員工在一個(gè)私密郵件組里面把這個(gè)消息分享給了SuSE/Debian/FreeBSD等幾個(gè)重要操作系統(tǒng)相關(guān)負(fù)責(zé)人。多虧了他，因?yàn)榇藭r(shí)OpenSSL仍然表示沒有任何細(xì)節(jié)提供，這是加州灣區(qū)的太平洋時(shí)間4月6日晚上，從Red Hat得到具體細(xì)節(jié)的幾大操作系統(tǒng)，連夜開始忙著打補(bǔ)丁，到這個(gè)時(shí)候，Red Hat提供的消息是OpenSSL將在9號(hào)，也就是3天之后公開這個(gè)漏洞?？上?，轉(zhuǎn)天，4月7日一大早，OpenSSL就直接發(fā)布了公告，媒體們知道了，全世界都知道了。如果沒有Red Hat提前放的消息，最后的影響恐怕還會(huì)大的多，就算如此，因?yàn)闀r(shí)差的原因（Red Hat那位員工在印度），很多在他夜里睡覺之后的郵件沒來得及回復(fù)，仍然有很多廠商沒能提前得知細(xì)節(jié)。關(guān)鍵廠商對(duì)于如此重大的漏洞比媒體知道消息還晚，近年來恐怕這是第一次。這造成了不少損失，比如加拿大國(guó)稅局CRA在漏洞被公開之后發(fā)現(xiàn)數(shù)據(jù)被盜，此時(shí)已經(jīng)來不及打補(bǔ)丁了，所以干脆直接把電子報(bào)稅系統(tǒng)關(guān)掉了，當(dāng)時(shí)是4月9號(hào)，加拿大2014年的報(bào)稅截至日期是4月30日，正是電子報(bào)稅系統(tǒng)最繁忙的日子，其間的尷尬可想而知。整個(gè)過程的時(shí)間線，在theage的一篇文章有完整記載，我列在最后，供參考。

針對(duì)這個(gè)反常的流程，社區(qū)中有不少陰謀論的看法，我不轉(zhuǎn)述這些看法，我只是想說，這是另外一個(gè)證據(jù)證明OpenSSL有嚴(yán)重的管理問題，而不是錢的問題，人們說他們把事情做的一團(tuán)混亂絕對(duì)不是沒理由的指責(zé)。

另外，OpenSSL并不是憑空出現(xiàn)的項(xiàng)目，而是繼承了另一個(gè)項(xiàng)目SSLeay的代碼。在SSLeay的開發(fā)者去RSA公司工作，不能繼續(xù)這個(gè)開源項(xiàng)目之后，有好幾個(gè)項(xiàng)目繼承了它的代碼繼續(xù)開發(fā)，OpenSSL只是其中比較成功的一個(gè)。維基百科上列出了SSL庫(kù)的實(shí)現(xiàn)，包括OpenSSL，現(xiàn)在還在使用的也有10多個(gè)，其中開源的占了將近一半。

這也是我不贊成吹捧OpenSSL的原因，歷史的選擇往往存在偶然，具體到SSL軟件上，就更復(fù)雜，這是混合了技術(shù)，商業(yè)，歷史，政治復(fù)雜因素之后的偶然結(jié)果。現(xiàn)在OpenSSL暫時(shí)有最多的用戶，以后則未必會(huì)如此，我相信，早晚會(huì)有一個(gè)新的替代者出現(xiàn)。

4 誰是真正的人類隱私捍衛(wèi)者？——電子前線基金會(huì)的故事

界面這篇文章認(rèn)為OpenSSL是人類隱私的捍衛(wèi)者，事實(shí)上，OpenSSL只是同類加密軟件中的一個(gè)，他們當(dāng)不起隱私捍衛(wèi)者這個(gè)頭銜。今天，我們可以不知不覺獲得加密軟件的保護(hù)，背后有一些曲折的故事，那是真正的隱私捍衛(wèi)者的故事。

曾經(jīng)，加密技術(shù)是被美國(guó)政府禁止出口的，就像很多武器禁止出口一樣，其他國(guó)家的人，想要使用這些加密算法，就像要從美國(guó)買導(dǎo)彈一樣，是不可能的。轉(zhuǎn)機(jī)發(fā)生在1995年，這一年，加州伯克利大學(xué)的研究生Bernstein在一個(gè)叫做電子前線基金會(huì)的律師幫助下，起訴美國(guó)政府。他的主張是自由發(fā)表加密算法，屬于言論自由的一部分，從而受美國(guó)憲法第一修正案保護(hù)，史稱 Bernstein v. United States。這個(gè)案子進(jìn)行了4年，到1999年，美國(guó)聯(lián)邦第九巡回上訴法院出了判決，依據(jù)第一修正案，判決美國(guó)政府禁止公開密碼算法違憲。在這之后，各種密碼協(xié)議和開源算法才從美國(guó)流傳出來，被自由使用。

電子前線基金會(huì)EFF（Electronic Frontier Foundation），創(chuàng)建于1990年，是一個(gè)法律援助組織，他們的使命是捍衛(wèi)隱私，自由表達(dá)和公民權(quán)利。這也是一個(gè)基金會(huì)，而且是一個(gè)完全靠捐款運(yùn)作的非盈利組織。EFF創(chuàng)始人之一是Lotus公司創(chuàng)始人卡普爾，曾經(jīng)是和比爾蓋茨齊名的軟件天才。80年代，Lotus是最大的獨(dú)立軟件公司，幾年之后微軟才超過它?？ㄆ諣柺且粋€(gè)極具前瞻精神的奇才，1990年，卡普爾意識(shí)到未來技術(shù)、隱私、法律和政治的沖突，自己出資創(chuàng)建了EFF，后來的資助者中還有著名的蘋果聯(lián)合創(chuàng)始人沃茲。當(dāng)時(shí)，商業(yè)互聯(lián)網(wǎng)尚未成型，可見他們前瞻性之強(qiáng)。關(guān)于EFF的傳奇故事可以寫很多篇文章，這里我們先說和OpenSSL有關(guān)的部分。

曾經(jīng)瀏覽器的領(lǐng)導(dǎo)者Netscape，于1995年開發(fā)了第一個(gè)SSL協(xié)議。SSLeay也在1995年完成了第一個(gè)實(shí)現(xiàn)，1998年SSLeay中止開發(fā)，由社區(qū)接手。直到1999年美國(guó)政府?dāng)≡V，加密技術(shù)終于可以自由流通。這才是人類隱私保護(hù)工程的歷史脈絡(luò)。在這個(gè)復(fù)雜的故事里面，OpenSSL是受益者之一，也是整個(gè)故事中的一小段，界面的文章把OpenSSL開發(fā)者捧為人類隱私的捍衛(wèi)者，不僅過譽(yù)，而且顯得非常無知。

EFF及其創(chuàng)始人卡普爾，是真正的理想主義者，他們沒有商業(yè)收入，自己掏錢，做這一件事做了25年之久，通過一個(gè)又一個(gè)的訴訟案和對(duì)隱私相關(guān)案件的法律援助，他們成功推動(dòng)了社會(huì)進(jìn)步。這才是互聯(lián)網(wǎng)時(shí)代真正的隱私的捍衛(wèi)者。

5 媒體的責(zé)任

有朋友說，寫寫文章，讓大家捐點(diǎn)錢，怎么也不會(huì)有害，不應(yīng)該被批評(píng)。我不這么認(rèn)為。媒體傳播是可以影響人群選擇的。這在開源領(lǐng)域有先例，比如，BSD是最正宗的UNIX繼承者，但曾經(jīng)的一場(chǎng)訴訟，讓BSD應(yīng)用廣泛程度至今不及Linux，媒體在這個(gè)過程中起了相當(dāng)重要的作用。直到今天，談起開源軟件，媒體都更關(guān)注Linux，質(zhì)量更可靠的BSD缺少關(guān)注，從而影響了人們的選擇。界面文章中說“如果一個(gè)開源項(xiàng)目在商業(yè)世界獲得了成功，那決不會(huì)是出于僥幸，決不會(huì)是因?yàn)槠渌?jìng)爭(zhēng)者恰好被規(guī)章制度所累、被知識(shí)產(chǎn)權(quán)法約束“，BSD的歷史正好是一個(gè)反例。（“決不會(huì)“ 此處錯(cuò)字為界面原文引用）

所以，界面這篇文章的影響是很負(fù)面的。我在前面指出了不少他們?cè)谡w認(rèn)知上的錯(cuò)誤，其他的小錯(cuò)和不合理之處更是多的說不完。比如，界面的文章說"有了錘子科技的那筆捐款"OpenSSL的開發(fā)者在德國(guó)Linux會(huì)議期間才終于有機(jī)會(huì)見了一次面。文章中有一張OpenSSL開發(fā)者的合影和人名，就算這些人你之前完全不知道，現(xiàn)在立刻Google一下就知道，這些人里面有Debian開發(fā)者，也有Google全職員工，這些人都不是OpenSSL付薪的，就憑這張照片，說大企業(yè)一分錢沒出過也實(shí)在說不過去。再說OpenSSL開發(fā)者大部分在英國(guó)和歐洲，從倫敦飛德國(guó)法蘭克福，往返機(jī)票也就300美元，硬要說這些有工作，有正常收入的工程師連300美金機(jī)票都要等這筆捐款，未免太過夸張。

我想問問界面編輯部，你們認(rèn)為這篇文章到底是不是軟文。如果作者是在寫付費(fèi)軟文，那么是職業(yè)道德問題，如果沒收費(fèi)，而是作者出于對(duì)羅永浩的崇拜寫了一篇軟文，那么是公器私用，也是職業(yè)道德問題，如果作者沒收費(fèi)又不是公器私用，仍然寫出了一篇如此軟，錯(cuò)誤如此多的文章，那不僅僅是職業(yè)道德問題，還是能力問題。界面網(wǎng)絡(luò)的編審流程看起來也不那么靠譜，讓這么一篇文章發(fā)表出來，還四處推廣，恐怕編審團(tuán)隊(duì)沒做什么背景調(diào)查，甚至都沒去搜索點(diǎn)相關(guān)文章讀讀。另外，整篇文章連一個(gè)觀點(diǎn)相反的平衡意見都沒有，完全是單方面的觀點(diǎn)闡述，這也違背了平衡報(bào)道準(zhǔn)則。一篇好的報(bào)道，應(yīng)該兼顧各方意見，給讀者展示各種觀點(diǎn)，提供多方面信息，界面沒能做到這一點(diǎn)。

互聯(lián)網(wǎng)的安全，不取決于一個(gè)特定的軟件，即使這個(gè)軟件是用來加密的。發(fā)現(xiàn)“心臟出血“漏洞的Google員工Mehta說過，libjpeg如果出問題，可能會(huì)有極大影響。libjpeg用來生成和顯示大部分網(wǎng)站和軟件的圖片，被普通人用到的范圍比OpenSSL更廣，威脅也會(huì)更嚴(yán)重。當(dāng)人們被媒體把關(guān)注轉(zhuǎn)向OpenSSL上時(shí)，大量更重要的問題就會(huì)缺少關(guān)注。希望能有更多人關(guān)注更多的基礎(chǔ)項(xiàng)目，而不是和汶川地震一樣，盯著看各大企業(yè)誰給OpenSSL捐款更多。一年了，炒作也應(yīng)該結(jié)束了。

界面的這篇文章對(duì)華為、諾基亞，Google這樣出錢出力，沒自我炒作的廠商不公平，對(duì)于其他開源組織也不公平。界面是一家有正規(guī)編審流程的機(jī)構(gòu)，嚴(yán)謹(jǐn)程度還不如我這種完全靠個(gè)人愛好寫作的非專業(yè)人員，雖然不嚴(yán)謹(jǐn)，但他們的煽情技巧確實(shí)是出色而專業(yè)的，這篇文章被很多人稱為精彩，這令人失望，也非常遺憾。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900