现在流血已经有一个多月了 。 一个足以拥有自己的Wikipedia页面的 bug。 今天,由于我们认为开源代码是开放的,并且许多开发人员正在研究开源软件,因此我们假设开源软件比商业软件更安全,这将是我们的错。
与啤酒一样免费
开源软件的核心原则之一是,它是开放的,并且这种开放以某种方式是免费的。 这使我们开发人员可以出于多种原因浏览第三方软件和库的源代码:
- 向它学习
- 复制(根据各自许可的条款)
- 进行修改(根据相应许可的条款)
- 验证一下
专有软件通常不具有上述属性以换取保修。 例如,当您阅读数百万行难以理解的合法Microsoft文本时 ,您会发现Microsoft提供了一些保证,包括安全性以及如何纠正安全性缺陷。
该软件由OpenSSL项目按“原样”提供,不提供任何明示或暗示的担保,包括但不限于针对特定目的的适销性和适用性的暗示担保。 在任何情况下,OpenSSL项目或其贡献者均不对任何直接,间接,偶发,特殊,特殊或后果性的损害(包括但不限于,替代商品或服务的购买,使用,数据, ;或业务中断),无论是基于合同,严格责任还是侵权(包括疏忽或其他方式)造成的任何赔偿责任,无论是出于使用本软件的任何方式(即使已经事先告知) 。
实际上,您没有任何保证。 具体来说,对于因Heartbleed而发生的直接或间接数据丢失不承担任何责任。
很明显吧? 由于它像啤酒一样免费 ,因此,如果您使用的是OpenSSL或其他类似条款下包含OpenSSL的开源软件,那么Heartbleed错误所导致的任何后果完全是您自己的错 。
是。 您应该知道自己容易受到攻击,因为您实际上可以对其进行验证 。 你是否? 当然不是。 有吗 我们绝不可能研究所有这些C代码。 是我们的“供应商”吗? 我们甚至都不知道。 我们正在广泛使用WinSCP ,并进行检查, WinSCP受到Heartbleed的影响 ! WinSCP的开发人员非常出色,可以Swift解决此问题并发布新版本。 他们不必这样做。 你知道吗? 让我们点击捐赠按钮 ,现在要感谢他们。
“他们”应该支付
好的,但是再次,难道难道Heartbleed应该永远不会发生吗? 这不是开源的吗? 没有任何人 (读:“他们”因为,我没有时间。)查看这样的代码,特别是如果它是广泛使用的? 开源安全性难道不是封闭性安全性的本质吗?后者本质上是隐晦的安全性 ?
著名的德国自由职业顾问和培训师Eberhard Wolff最近对我回答:
@lukaseder @patbaumgartner对于安全性开源软件而言,这不是很严重的情况。
— Eberhard Wolff(@ewolff) 2014年5月16日
是的,很抱歉,Eberhard。 但是,就是这样。 在许多商业软件和开源软件中,安全性通常都被忽略。 并不是说开放性可以帮助任何人发现事物,安全性本身很难发现。 也在商业软件中。 还记得GOTO失败吗? GOTO失败也影响SSL,但仅适用于Apple软件。
不过,问题出在其他地方。 因为Microsoft几乎可以立即设法修补所有安全问题。 他们修复问题的速度如此之快,以至于用户对修复的频率感到沮丧!
但是微软有很多损失。 他们必须失去台式机操作系统市场几乎90%的份额。 他们付出了大量的保险金,投资于正在对自己的软件进行渗透测试以寻找漏洞的安全团队。 是。 供应商自己正在这样做。 是的,它要花钱。 是的,您在购买Windows(或Office)时已经支付了该费用。
OpenSSL从来没有过的钱 。 在以下史蒂夫·马克斯 ( Steve Marquess)的公开信中阅读这一令人沮丧的部分:
由于有了这种宣传,OpenSSL用户社区对基层的支持大量涌现,上周[3]大约收到了200笔捐款,同时也得到了许多支持和鼓励的信息[4]。 从电子邮件地址和姓名来看,大多数价格为5美元或10美元,来自世界各地。 我还没有完成全部输入以获得确切的总数,但是所有这些捐款加起来总计约9,000美元。 即使这些捐款会无限期地以相同的速度到达(它们不会),并且即使这些资金的每一分钱都直接捐给OpenSSL团队成员,也远远不足以适当维持支持此类捐款所需的人力水平。复杂而关键的软件产品。 尽管OpenSSL确实“属于人民”,但期望数百人甚至数千人提供所有财务支持既不现实也不恰当。 应该贡献真正资源的是商业公司[5]和政府[6],它们广泛使用OpenSSL并将其视为理所当然。
我可以和史蒂夫在一起。 9,000美元,用于改善OpenSSL,该软件为我们所有的服务器和客户端增加了很多价值。 即使要修复2-3个错误,这还远远不够,具体取决于您要支付的薪水。
但是史蒂夫(Steve)认为“商业公司”和“政府”支付的钱不够。 但是这些“商业公司”是谁?
同时,在
我们当然知道类似的故事。 从完全开放源代码过渡到双重许可后 ,我们听到了很多用户的抱怨,直到那时我们还从未听说过。 从未捐赠或贡献过代码,错误报告,手动改进或任何内容的用户。 还行吧。 作为扩展市场分析的一部分,我们根据ASL 2.0的条款免费提供jOOQ。 我们没想到会有捐款。
当然,我们也让一两个希望jOOQ保持“自由中的自由”的人感到失望,他们做出了贡献,参加了会议,现在感到受骗了。 我们对此深表歉意。 但是参与并不能支付我们的账单,金钱却可以。 因此,我们花了很多钱(幸运的是,我们一直拥有该代码,因为我们向较大的捐助者付款,并让他们都签署了CLA,因此从法律的角度来看我们实际上可以执行此步骤)。
但是,让我们再次关注那些寻找免费啤酒的人。 没有贡献。 没有反馈。 免费乘车。 然后,当要钱时,他们很生气(甚至8个月后!) 。
很公平。 该特定用户的价格上涨了。 从免费到其他。 他们也有权对此更改感到沮丧,这可能是他们未曾预料到的。 但是他们也没有适当的理由就将“免费”视为理所当然。 未经验证 。
“他们”
我们认为“他们”不应该为我们的许可证付费。 我们不认为“他们”应该为企业提供支持。 自由软件中没有“ THEY” ,只有我们所有人,因为谁能决定哪个项目真正重要,足以从“ THEM”中获得一些资金,而哪个项目则没有呢? 所有“公平”分配资金的尝试都将不可避免地导致腐败,滥用,滥用,并最终导致缺乏创新。 我们从其他行业知道这一点 。
因此,让我们简单地建立两个事实:
- 自由软件在街上闲逛。 它是公认的AS IS软件。 如果我们使用它,这是我们自己的风险 。 如果出了错,那是我们自己的错 。 没有人的。 不是大公司(已经在开源软件上投入了巨额资金 ),也不是政府( 那里是同样的事情 )。 停止假装FOSS比商业软件更好或更少的法律风险。 那不是真的。
- 实际上,没有免费软件之类的东西。 “免费”是我们作为预付款(或未付款)支付的价格。 费用将在以后出现或可能出现。 如果幸运的话,事情将保持“免费”。 但是,如果我们是专业人员,那么我们将向您保证不会遭受免费的“按现状”软件引起的风险。 这意味着我们将以另一种方式退还(= “ pay” )。 通过捐赠,错误修复,验证。
进一步阅读
来自Oracle的Bruno Borges在这篇博客中表达了他对开源软件的现状和意义的非常有趣的看法和对策 。
#OpenSSL是一款仅收费的软件(但仍是开源的),是否可以避免#Heartbleed ? http://t.co/WV8nKUNMV8
— Bruno Borges(@brunoborges) 2014年4月10日
翻译自: https://www.javacodegeeks.com/2014/05/free-as-in-beer-has-caused-heartbleed-and-much-more.html