鈦媒體注：“心臟出血”這個(gè)OpenSSL嚴(yán)重漏洞，從2014年4月初被公眾知道,，到現(xiàn)在已有將近一年了,，這件事已經(jīng)算告一段落。（詳見鈦媒體文章《詳解OpenSSL重大漏洞：誰會(huì)受影響,？如何解決,？》）而前兩天某網(wǎng)站發(fā)布的一篇關(guān)于OpenSSL和開源項(xiàng)目的文章《隱形戰(zhàn)友》，不僅明顯是炒冷飯,，甚至充滿了硬傷,、誤解和企業(yè)宣傳。以下是鈦媒體編輯從文章中摘取的幾段文字,，朋友們先感受一下：

十五年來,，OpenSSL每年得到的捐款收入始終徘徊在可憐巴巴的兩千美金。說出去大概沒人會(huì)信,，但這個(gè)保障了半個(gè)互聯(lián)網(wǎng)安全的密碼庫項(xiàng)目實(shí)際上只雇得起兩個(gè)全職員工,，兩人都叫史蒂夫，跟美國隊(duì)長重名,。

……

“心臟出血”爆發(fā)后,，不少人爭(zhēng)相跟OpenSSL劃清界限?；鶎映绦騿T批評(píng)他們的代碼“令人作嘔”,，大公司則比賽著將牽連自身的安全漏洞盡快修復(fù)。而開源宣言《大教堂與集市》（The Cathedral and the Bazaar）的作者更是由此認(rèn)定開源生態(tài)存在亟待解決的本質(zhì)漏洞,。

……

太平洋這頭,，羅永浩忿忿不平。多年以來人們往他身上貼的標(biāo)簽,，除了“胖子”,，就是“理想主義者”,。可是這回,，他終于發(fā)現(xiàn)比他還要理想主義的OpenSSL,?！拔衣犝f該機(jī)構(gòu)最初的幾名工程師放棄了高薪的工作,，而投身于這樣一項(xiàng)公益事業(yè)，來維護(hù)互聯(lián)網(wǎng)的安全,?！绷_永浩說,，“這符合中國人所說的‘俠義精神’，這些人的內(nèi)心一定有理想主義的支撐,。這是我所欣賞的,?！?span style="line-height: 1.5;">于是，離錘子科技發(fā)出第一封郵件還不到十天，史蒂夫·馬奎斯就收到了百萬元捐款——OpenSSL基金會(huì)有史以來最大的單筆收入。

 

——李魚《隱形戰(zhàn)友》

開源軟件、安全,、隱私確實(shí)是大部分普通用戶不了解的領(lǐng)域,，然而真相并不是如此,。所以鈦媒體作者霍炬寫下這篇文章,，讓公眾對(duì)歷史有個(gè)基本了解,，以下是全文,，經(jīng)鈦媒體編輯：

我想聊聊開源軟件的模式和OpenSSL存在的問題,，以及到底誰在捍衛(wèi)我們的隱私,，這些都是界面的文章弄錯(cuò)的地方,。我也會(huì)寫到在“心臟出血“這個(gè)漏洞從發(fā)現(xiàn)到公布的過程中,，驚心動(dòng)魄和爭(zhēng)分奪秒的故事,，這個(gè)過程暴露出OpenSSL嚴(yán)重的管理問題,。先從開源說起。

開源是一種商業(yè)模式

開源組織并不是沒有捐款就不能生存,，開源和免費(fèi)一樣,，是一種商業(yè)模式。開源軟件的世界是激烈競(jìng)爭(zhēng)的,，任何一個(gè)組織,，都可以從當(dāng)前代碼分支一份繼續(xù)開發(fā)新的版本，這個(gè)行為叫做Fork,。一個(gè)開源組織要想生存下去,，最重要的基礎(chǔ)就是普遍被使用,，不然很快就會(huì)被競(jìng)爭(zhēng)者替代,。一個(gè)軟件被普遍被使用之后,，就會(huì)因此衍生出相關(guān)服務(wù)，團(tuán)隊(duì)可以通過這些服務(wù)獲得比較好的收入，商業(yè)模式就成型了,。最著名的例子應(yīng)該算是Red Hat Linux，中文叫做“紅帽”，他們免費(fèi)提供Linux發(fā)行版,，企業(yè)可以通過付費(fèi)訂閱獲得技術(shù)支持,，他們收入相當(dāng)不錯(cuò)，現(xiàn)在已經(jīng)是一家市值100多億美金的上市公司,。

OpenSSL采用的也是同樣的開源和服務(wù)收費(fèi)的方式運(yùn)轉(zhuǎn),，OpenSSL基金會(huì)的負(fù)責(zé)人Steve說，他們最多一年有將近100萬美金的商業(yè)咨詢項(xiàng)目(資金來源是美國國防部和美國國土安全部),，這已經(jīng)是相當(dāng)不錯(cuò)的狀況。開源軟件的全職工作人員都不會(huì)太多，大部分項(xiàng)目的核心貢獻(xiàn)者同時(shí)也都會(huì)承擔(dān)商業(yè)性項(xiàng)目，這是很正常的情況。在開源社區(qū)中，像Linux創(chuàng)始人Linus這樣全職為開源項(xiàng)目工作的程序員，反而不是普遍現(xiàn)象，Linus得以這么做，一方面是Linux基金會(huì)財(cái)力豐厚,，另外一方面也是因?yàn)長inux衍生項(xiàng)目太多，影響力也太大,，Linus本身又是精神領(lǐng)袖，他不得不全職為Linux工作,。同時(shí)從事商業(yè)服務(wù)和開源項(xiàng)目,，并不是界面那篇文章描述的那么悲情,。

再來個(gè)例子,，最好的開源UNIX操作系統(tǒng)FreeBSD，其核心開發(fā)者Poul-Henning Kamp(社區(qū)內(nèi)叫他PHK)到今天仍然承擔(dān)商業(yè)性項(xiàng)目。即使從1994年到現(xiàn)在,，他的一直在FreeBSD代碼貢獻(xiàn)的排行榜上排第一，也仍然不是FreeBSD基金會(huì)的全職員工,，他對(duì)自己的描述是“自雇”,。PHK在自己主頁上公開了最近正在做的一個(gè)商業(yè)項(xiàng)目,，報(bào)酬每月3000美金。以O(shè)penSSL的項(xiàng)目規(guī)模,，有一個(gè)全職開發(fā)者已經(jīng)是相當(dāng)不錯(cuò)的狀況了,。

為什么有這么多人會(huì)放棄傳統(tǒng)的賣軟件的方式，轉(zhuǎn)向免費(fèi)軟件和開源軟件?除了個(gè)人興趣和理想之外,，開源軟件是一個(gè)成熟可靠的商業(yè)模式,，這個(gè)商業(yè)模式有自己的收入方式和生態(tài)。而《隱形戰(zhàn)友》這篇文章極力制造普通互聯(lián)網(wǎng)用戶對(duì)于OpenSSL的愧疚感,，指責(zé)普通用戶從來沒付錢給他們,，這種一種道德綁架。任何一個(gè)用戶,，只要在使用OpenSSL,，就是在幫助這個(gè)組織獲得市場(chǎng)份額，在競(jìng)爭(zhēng)中獲得更大優(yōu)勢(shì),，無論有沒有直接捐款給他們,，用戶都已經(jīng)做出了貢獻(xiàn)。

華為是唯一算得上曾“資助”過OpenSSL的國內(nèi)企業(yè)

雖然開源組織可以通過商業(yè)服務(wù)來讓自己生存的不錯(cuò),，但是一般也都很愿意接受捐款,。有足夠的捐款，可以少做一些商業(yè)項(xiàng)目,，把精力往開源軟件方面傾斜一些,，這當(dāng)然是好事。大部分軟件和IT企業(yè),，每年都有不小的一筆錢用來支持開源項(xiàng)目們,，同時(shí)也爭(zhēng)取自己在開源社區(qū)的影響力和發(fā)言權(quán),，開源組織們每年接受的捐款按照各自項(xiàng)目狀況，都不算少,。但為什么OpenSSL這個(gè)項(xiàng)目每年只能收到幾千美金的捐款呢?答案很簡(jiǎn)單,，因?yàn)樗麄儚膩頉]有搞過募捐活動(dòng)。

開源組織通常會(huì)設(shè)立一個(gè)注冊(cè)為非盈利機(jī)構(gòu)的基金會(huì),，通過這個(gè)基金會(huì)募集資金,、組織活動(dòng)、推廣自己的開源產(chǎn)品,，視項(xiàng)目情況給專職或者兼職開發(fā)者付報(bào)酬,，其中募集資金是基金會(huì)相當(dāng)重要的工作。如果經(jīng)常使用維基百科的用戶,，應(yīng)該會(huì)有印象,。維基百科每年都有一個(gè)固定時(shí)段，會(huì)在網(wǎng)站上放置非常明顯的籌資通告,，設(shè)定好本年度預(yù)算目標(biāo),，讓大家捐款。達(dá)到數(shù)額之后,，捐款就停止,，不再接受更多。幾乎所有開源組織,，都會(huì)通過這種方式募集捐贈(zèng),。

OpenSSL基金會(huì)從來沒公開募集過資金，如果沒有捐款目標(biāo),，沒公開募捐,，就很難有成批的捐款進(jìn)入，畢竟,，需要資金的項(xiàng)目實(shí)在太多了,。對(duì)于OpenSSL這種項(xiàng)目，募資相當(dāng)容易,，他們只需公開發(fā)一份籌款通知,，各大企業(yè)的錢就可以立刻到手。當(dāng)“心臟出血“發(fā)生之后,，諸多企業(yè)驚訝的不是只有一個(gè)全職開發(fā)者這件事，而是,，為什么你們一直沒籌款,。OpenSSL從來沒公布過自己的財(cái)務(wù)狀況，沒有設(shè)置過募款目標(biāo),，這讓人們?nèi)绾稳ゾ杩罱o他?

更有意思的是,，OpenSSL基金會(huì)并沒有注冊(cè)為非盈利機(jī)構(gòu),，而是一個(gè)盈利性企業(yè)。捐助OpenSSL的人和企業(yè)無法從美國政府獲得減稅,。按照他們自己的說法,，是他們沒有時(shí)間維護(hù)一個(gè)非盈利組織，這不是個(gè)好理由,。對(duì)于一個(gè)開源項(xiàng)目,，注冊(cè)一個(gè)非盈利組織比注冊(cè)公司難不了多少，再說,，基金會(huì)之所以成立,，不就是為了去做這些事嗎?盈利性企業(yè)已經(jīng)定義了他們是希望靠商業(yè)活動(dòng)獲得收入，而不是靠捐款生存,。捐款給盈利性企業(yè),，錢的利用率就會(huì)變低很多，按照美國稅法粗算,，最多的情況下要多交出30%~40%的稅,，是巨大的浪費(fèi)。這也解釋了為什么美國企業(yè)很少捐款給OpenSSL基金會(huì),。

不過,，就算如此，事情也是在快速好轉(zhuǎn)的,。“心臟出血“事件之后,，Linux基金會(huì)在極短的時(shí)間內(nèi)就成立了核心基礎(chǔ)架構(gòu)聯(lián)盟(CII, Core Infrastructure Initiative)，主動(dòng)挑選缺乏資金的重要開源項(xiàng)目進(jìn)行資助,，無論對(duì)方是否募款,，OpenSSL是他們資助的第一個(gè)項(xiàng)目。這個(gè)聯(lián)盟集結(jié)了世界各國的科技企業(yè)共同出資,，其中包括了Google,、Amazon、Facebook,、思科,、富士、惠普,、IBM等十多家企業(yè),。其中中國企業(yè)只有一家，是華為,。特別值得一提的是,，除了給CII出資，華為也單獨(dú)資助了OpenSSL基金會(huì)每年5萬美金?？上?，界面的文章似乎把華為忘了。參加CII聯(lián)盟的企業(yè)每年出至少10萬美金,，按照2014年的數(shù)字,，CII每年總共有170萬美金基金可以使用，第一期資金主要用來資助OpenSSL和OpenSSH,，資金相當(dāng)富裕,。

上面這些事情都發(fā)生在去年5月，也就是“心臟出血“事件之后的一個(gè)多月時(shí)間里,。無論是各大科技企業(yè),，還是Linux基金會(huì)，他們的行動(dòng)都非常迅速,，這是開源世界的做事方式和效率,。到去年5月，OpenSSL的資金問題就算解決了,。從這個(gè)結(jié)果看,，之前OpenSSL沒有得到足夠捐款的直接原因就是其基金會(huì)失職。

做為對(duì)比,，再看看去年OpenBSD募款的經(jīng)歷,。OpenBSD是最關(guān)注安全的開源Unix操作系統(tǒng)，他們同時(shí)也是OpenSSH的維護(hù)者(看到SS是不是覺得和加密也有關(guān)系?沒錯(cuò),，這也是一種加密工具,，只不過不是給客戶用的，是給服務(wù)器管理者和程序員用的),，去年的募款目標(biāo)僅僅是15萬加幣,。相比起來，170萬美金實(shí)在已經(jīng)是太多了,，如果CII給的錢不夠讓OpenSSL變好,，恐怕再多的錢也不會(huì)好了。

除了直接捐錢,，各大企業(yè)支持開源項(xiàng)目的方式還有很多,，比如捐獻(xiàn)自己?jiǎn)T工的時(shí)間。任何一個(gè)開源項(xiàng)目中,，都有來自各大公司工程師的貢獻(xiàn),，這些公司給自己?jiǎn)T工發(fā)薪水，他們寫的代碼會(huì)回饋給開源項(xiàng)目,，比起捐款,，這是更直接的支持。比如去年發(fā)現(xiàn)“心臟出血”漏洞的工程師,，是Google員工,，他在上班時(shí)間全職對(duì)OpenSSL代碼做安全審計(jì)，找到了這個(gè)Bug,。他確實(shí)不是OpenSSL基金會(huì)的直接雇員,，但這份由Google買單的全職勞動(dòng)成果是貢獻(xiàn)給了OpenSSL項(xiàng)目的，說所有大公司都沒支持過這個(gè)項(xiàng)目,，未免太不公平,。而這種錯(cuò)誤言論,，正是界面文章宣傳的論調(diào),，按照這篇文章的說法，一個(gè)中國小公司救了全世界互聯(lián)網(wǎng)用戶,，這是何等荒唐,。

說到這里,，再說說捐款問題。我非常反對(duì)《隱形戰(zhàn)友》渲染的這種捐款情緒,，這是利用人們的愧疚捐款,。錢是非常寶貴的資源，需要用錢的地方太多了,，正確的捐款是在捐款者對(duì)項(xiàng)目的充分了解后,，基于對(duì)其價(jià)值觀和方向認(rèn)同，按照自己的愿望進(jìn)行長期而小額的固定捐助,。在這個(gè)過程中,，稅務(wù)問題也是必須要考慮的，這直接決定了資金利用率,，比如美國稅務(wù)居民,，捐贈(zèng)給OpenSSL，資金的利用率就很低,，而捐款給CII再由他們資助OpenSSL,，就可以得到一部分免稅，利用率高了很多,，如果是加拿大稅務(wù)居民,，想對(duì)操作系統(tǒng)方面的項(xiàng)目捐款，應(yīng)該首選OpenBSD,，因?yàn)樗羌幽么笞?cè)的非盈利組織,。捐款是一個(gè)非常理性的行為，隱藏部分信息,，利用人們對(duì)開源項(xiàng)目的不了解,，煽情，制造愧疚感，這是不可持續(xù)的,，也是不公平的,，這些都是界面的文章和之后的運(yùn)營所做的事情。

OpenSSL的問題和未來

《隱形戰(zhàn)士》中說基層程序員批評(píng)他們的代碼“令人作嘔”,，實(shí)際上,，說這句話的人是Theo de Raadt，是OpenBSD項(xiàng)目的創(chuàng)始人,，他可不是“基層程序員”,，而是操作系統(tǒng)領(lǐng)域最好的計(jì)算機(jī)科學(xué)家之一。OpenBSD開發(fā)者們并沒止步于批評(píng),，而是立刻決定從當(dāng)前OpenSSL版本創(chuàng)建一個(gè)叫做LibreSSL的獨(dú)立項(xiàng)目,，從清理OpenSSL的代碼重新開始。他們?cè)诘谝恢芫蛣h除了9萬多行代碼,，OpenSSL整個(gè)項(xiàng)目只有38萬行,，相當(dāng)于刪減了近1/4的代碼?？梢奣heo的批評(píng)并不是順口胡說,。幾年來，OpenSSL出過各種漏洞,，在“心臟出血“之后,，仍然有隱藏了10年以上的漏洞被發(fā)現(xiàn)，很多熟悉這個(gè)項(xiàng)目的人看法都是“除了重寫別無辦法”,。

OpenBSD有一份文檔說明了他們?cè)谇謇磉^程中遇到的問題,，去掉其中的技術(shù)細(xì)節(jié)，我把主要觀點(diǎn)列在這里,，這些也基本是業(yè)內(nèi)主流看法：

OpenSSL的代碼混亂不堪,，難以閱讀。開源軟件一般通過讓更多人看到代碼來發(fā)現(xiàn)bug,，如果代碼難以閱讀,，這個(gè)辦法就失效了。

他們使用了大量自己的代碼封裝和編程風(fēng)格,，這些代碼有的有bug,，有的不符合現(xiàn)代主流做法。這讓常見的檢測(cè)工具沒法應(yīng)用于他們的項(xiàng)目,，更難以發(fā)現(xiàn)Bug,。

他們的開發(fā)者更關(guān)心增加功能，而不是維護(hù)和修補(bǔ),。

其他開發(fā)者提供的修改和貢獻(xiàn),，一般不會(huì)被合并到最終代碼里,。

很多用戶指出的Bug，包括一些相當(dāng)嚴(yán)重的,，公開放在追蹤系統(tǒng)里面長達(dá)幾年,，沒被修補(bǔ)。

其中存留了大量無用的舊代碼,，比如給windows 2000之前的16位系統(tǒng)寫的兼容代碼,，仍然包含在最新版本的OpenSSL中。

基于以上原因,，OpenBSD認(rèn)為這個(gè)項(xiàng)目已經(jīng)沒法維護(hù)了，必須要重新開始,。這就是他們創(chuàng)建一個(gè)分支,，從清理代碼這種基礎(chǔ)工作開始的原因?？梢?，這個(gè)項(xiàng)目根本不是錢的問題，而是管理方式和社區(qū)文化有問題,。比起來其他項(xiàng)目,，他們?cè)谟幸粋€(gè)全職開發(fā)者和一個(gè)全職基金會(huì)主席的情況下還能響應(yīng)如此緩慢，實(shí)在更令人沮喪,。順便說一句,，做清理代碼這件事的OpenBSD開發(fā)者，也不是全職工作,，他還在這份文檔前面特別注明了“可以被雇傭”,。一年之后的今天，LibreSSL已經(jīng)基本算可用了,，除了清理和改變了原有代碼風(fēng)格,，他們也增加了一些更先進(jìn)的特性，看起來很有前途,。另外,，這個(gè)項(xiàng)目也很需要捐款，如果更認(rèn)同他們的做法,，可以捐款給他們,。

除此之外，OpenSSL公布“心臟出血“漏洞的過程也非常有問題,。一般出現(xiàn)嚴(yán)重漏洞的流程,，是先不對(duì)公眾公布，立即通知主流操作系統(tǒng)維護(hù)者和相關(guān)廠商,，讓大家先修改,，之后一起發(fā)布安全公告和升級(jí),。之所以這樣做，是因?yàn)槿绻僮飨到y(tǒng)不去打補(bǔ)丁,，很多普通用戶知道漏洞也沒辦法修補(bǔ),，反而讓黑客們更容易利用這些漏洞。

OpenSSL不是這么做的,，在Google告知了他們漏洞之后,，OpenSSL沒有告知任何一家操作系統(tǒng)廠商，反而奇怪的被幾家主要CDN廠商知道了,，也就是說,，在不知道哪個(gè)環(huán)節(jié)發(fā)生了泄密。之后開源社區(qū)中開始有關(guān)于這個(gè)重大Bug的傳言,，直到這個(gè)時(shí)候,，幾大操作系統(tǒng)仍然沒得到正式通知。又過了3天,，OpenSSL才告知了Red Hat,，當(dāng)天，參與處理這件事的一位Red Hat員工在一個(gè)私密郵件組里面把這個(gè)消息分享給了SuSE/Debian/FreeBSD等幾個(gè)重要操作系統(tǒng)相關(guān)負(fù)責(zé)人,。多虧了他,，因?yàn)榇藭r(shí)OpenSSL仍然表示沒有任何細(xì)節(jié)提供，這是加州灣區(qū)的太平洋時(shí)間4月6日晚上,，從Red Hat得到具體細(xì)節(jié)的幾大操作系統(tǒng),，連夜開始忙著打補(bǔ)丁，到這個(gè)時(shí)候,，Red Hat提供的消息是OpenSSL將在9號(hào),，也就是3天之后公開這個(gè)漏洞?？上?，轉(zhuǎn)天，4月7日一大早,，OpenSSL就直接發(fā)布了公告,，媒體們知道了，全世界都知道了,。如果沒有Red Hat提前放的消息,，最后的影響恐怕還會(huì)大的多，就算如此,，因?yàn)闀r(shí)差的原因(Red Hat那位員工在印度),，很多在他夜里睡覺之后的郵件沒來得及回復(fù)，仍然有很多廠商沒能提前得知細(xì)節(jié),。關(guān)鍵廠商對(duì)于如此重大的漏洞比媒體知道消息還晚,，近年來恐怕這是第一次,。

這造成了不少損失，比如加拿大國稅局CRA在漏洞被公開之后發(fā)現(xiàn)數(shù)據(jù)被盜,，此時(shí)已經(jīng)來不及打補(bǔ)丁了,，所以干脆直接把電子報(bào)稅系統(tǒng)關(guān)掉了，當(dāng)時(shí)是4月9號(hào),，加拿大2014年的報(bào)稅截至日期是4月30日,，正是電子報(bào)稅系統(tǒng)最繁忙的日子，其間的尷尬可想而知,。

針對(duì)這個(gè)反常的流程,，社區(qū)中有不少陰謀論的看法，我不轉(zhuǎn)述這些看法,，我只是想說,，這是另外一個(gè)證據(jù)證明OpenSSL有嚴(yán)重的管理問題，而不是錢的問題,，人們說他們把事情做的一團(tuán)混亂絕對(duì)不是沒理由的指責(zé)。

另外,，OpenSSL并不是憑空出現(xiàn)的項(xiàng)目,，而是繼承了另一個(gè)項(xiàng)目SSLeay的代碼。在SSLeay的開發(fā)者去RSA公司工作,，不能繼續(xù)這個(gè)開源項(xiàng)目之后,，有好幾個(gè)項(xiàng)目繼承了它的代碼繼續(xù)開發(fā)，OpenSSL只是其中比較成功的一個(gè),。這也是我不贊成吹捧OpenSSL的原因,，歷史的選擇往往存在偶然，具體到SSL軟件上,，就更復(fù)雜,，這是混合了技術(shù)，商業(yè),，歷史,，政治復(fù)雜因素之后的偶然結(jié)果。現(xiàn)在OpenSSL暫時(shí)有最多的用戶,，以后則未必會(huì)如此,，我相信，早晚會(huì)有一個(gè)新的替代者出現(xiàn),。

EFF才是真正的人類隱私捍衛(wèi)者

《隱形戰(zhàn)士》認(rèn)為OpenSSL是人類隱私的捍衛(wèi)者,，事實(shí)上，OpenSSL只是同類加密軟件中的一個(gè),，他們當(dāng)不起隱私捍衛(wèi)者這個(gè)頭銜,。今天,，我們可以不知不覺獲得加密軟件的保護(hù)，背后有一些曲折的故事,，那是真正的隱私捍衛(wèi)者的故事,。

曾經(jīng)，加密技術(shù)是被美國政府禁止出口的,，就像很多武器禁止出口一樣,，其他國家的人，想要使用這些加密算法,，就像要從美國買導(dǎo)彈一樣,，是不可能的。轉(zhuǎn)機(jī)發(fā)生在1995年,，這一年,，加州伯克利大學(xué)的研究生Bernstein在一個(gè)叫做電子前線基金會(huì)的律師幫助下，起訴美國政府,。他的主張是自由發(fā)表加密算法,，屬于言論自由的一部分，從而受美國憲法第一修正案保護(hù),，史稱 Bernstein v. United States,。這個(gè)案子進(jìn)行了4年，到1999年,，美國聯(lián)邦第九巡回上訴法院出了判決,，依據(jù)第一修正案，判決美國政府禁止公開密碼算法違憲,。在這之后,，各種密碼協(xié)議和開源算法才從美國流傳出來，被自由使用,。

電子前線基金會(huì)EFF(Electronic Frontier Foundation),，創(chuàng)建于1990年，是一個(gè)法律援助組織,，他們的使命是捍衛(wèi)隱私,，自由表達(dá)和公民權(quán)利。這也是一個(gè)基金會(huì),，而且是一個(gè)完全靠捐款運(yùn)作的非盈利組織,。EFF創(chuàng)始人之一是Lotus公司創(chuàng)始人卡普爾，曾經(jīng)是和比爾蓋茨齊名的軟件天才,。80年代,，Lotus是最大的獨(dú)立軟件公司，幾年之后微軟才超過它,?？ㄆ諣柺且粋€(gè)極具前瞻精神的奇才,，1990年，卡普爾意識(shí)到未來技術(shù),、隱私,、法律和政治的沖突，自己出資創(chuàng)建了EFF,，后來的資助者中還有著名的蘋果聯(lián)合創(chuàng)始人沃茲,。當(dāng)時(shí)，商業(yè)互聯(lián)網(wǎng)尚未成型,，可見他們前瞻性之強(qiáng),。關(guān)于EFF的傳奇故事可以寫很多篇文章，這里我們先說和OpenSSL有關(guān)的部分,。

曾經(jīng)瀏覽器的領(lǐng)導(dǎo)者Netscape,，于1995年開發(fā)了第一個(gè)SSL協(xié)議。SSLeay也在1995年完成了第一個(gè)實(shí)現(xiàn),，1998年SSLeay中止開發(fā),，由社區(qū)接手。直到1999年美國政府?dāng)≡V,，加密技術(shù)終于可以自由流通,。這才是人類隱私保護(hù)工程的歷史脈絡(luò)。在這個(gè)復(fù)雜的故事里面,，OpenSSL是受益者之一，也是整個(gè)故事中的一小段,，界面的文章把OpenSSL開發(fā)者捧為人類隱私的捍衛(wèi)者,，不僅過譽(yù)，而且顯得非常無知,。

EFF及其創(chuàng)始人卡普爾,，是真正的理想主義者，他們沒有商業(yè)收入,，自己掏錢,，做這一件事做了25年之久，通過一個(gè)又一個(gè)的訴訟案和對(duì)隱私相關(guān)案件的法律援助,，他們成功推動(dòng)了社會(huì)進(jìn)步,。這才是互聯(lián)網(wǎng)時(shí)代真正的隱私的捍衛(wèi)者。

媒體的責(zé)任

有朋友說,，寫寫文章,，讓大家捐點(diǎn)錢，怎么也不會(huì)有害,，不應(yīng)該被批評(píng),。我不這么認(rèn)為,。媒體傳播是可以影響人群選擇的。界面文章中說,，

如果一個(gè)開源項(xiàng)目在商業(yè)世界獲得了成功,，那決不會(huì)是出于僥幸，決不會(huì)(此處錯(cuò)別字為原文引用)是因?yàn)槠渌?jìng)爭(zhēng)者恰好被規(guī)章制度所累,、被知識(shí)產(chǎn)權(quán)法約束,。

BSD的歷史正好是一個(gè)反例。作為最正宗的UNIX繼承者,，BSD應(yīng)用廣泛程度至今不及Linux,，媒體在這個(gè)過程中起了相當(dāng)重要的作用。直到今天,，談起開源軟件,，媒體都更關(guān)注Linux，質(zhì)量更可靠的BSD缺少關(guān)注,，從而影響了人們的選擇,。

互聯(lián)網(wǎng)的安全，不取決于一個(gè)特定的軟件,，即使這個(gè)軟件是用來加密的,。發(fā)現(xiàn)“心臟出血“漏洞的Google員工Mehta說過，libjpeg如果出問題,，可能會(huì)有極大影響,。libjpeg用來生成和顯示大部分網(wǎng)站和軟件的圖片，被普通人用到的范圍比OpenSSL更廣,，威脅也會(huì)更嚴(yán)重,。當(dāng)人們被媒體把關(guān)注轉(zhuǎn)向OpenSSL上時(shí)，大量更重要的問題就會(huì)缺少關(guān)注,。希望能有更多人關(guān)注更多的基礎(chǔ)項(xiàng)目，而不是和汶川地震一樣,，盯著看各大企業(yè)誰給OpenSSL捐款更多,。一年了，炒作也應(yīng)該結(jié)束了,。

《隱形戰(zhàn)友》對(duì)華為,、諾基亞，Google這樣出錢出力,，沒自我炒作的廠商不公平,，對(duì)于其他開源組織也不公平。編輯人員的嚴(yán)謹(jǐn)程度還不如我這種完全靠個(gè)人愛好寫作的非專業(yè)人員。雖然不嚴(yán)謹(jǐn),，但他們的煽情技巧確實(shí)是出色而專業(yè)的,，這篇文章被很多人稱為精彩，這令人失望,，也非常遺憾。

【鈦媒體作者介紹：霍炬,，微信公眾賬號(hào)“歪理邪說”(wxieshuo)】

（關(guān)注更多鈦媒體作者觀點(diǎn)，參與鈦媒體微信互動(dòng)（微信搜索“鈦媒體”或“taimeiti”））