OpenSSL is not developed by a responsible team

2015-02-03 00:01:01 +08:00
 glasslion

Like what OpenBSD is doing to OpenSSL? Donate to LibreSSL
.

4252 次点击
所在节点    程序员
13 条回复
tsui
2015-02-03 00:07:43 +08:00
果然小丑出来哗众取宠了
blacktulip
2015-02-03 00:15:17 +08:00
OK,按照楼主的说法

“OpenSSL is not developed by a responsible team”
“Donate to LibreSSL”

这里隐藏了一个前提,就是说 “LibreSSL IS developed by a responsible team”

那么问题来了,如果 LibreSSL 爆了漏洞,我因此遭受了损失,LibreSSL team 会 take responsibility 么?
glasslion
2015-02-03 01:08:26 +08:00
Heartbleed 被爆之后,OpenSSL 基金会的主席在博客里把出bug的原因归咎于 OpenSSL 得到的捐助很少

ref: http://veridicalsystems.com/blog/of-money-responsibility-and-pride/

那么 OpenSSL 基金会 是不是真的穷呢

OpenSSL 基金会和自由软件基金会, Apache基金会不同, 是一家营利性的IT 咨询公司。盈利状况还不错:
The OpenSSL foundation appears to be a million dollar a year for-profit company doing FIPS consulting gigs. (Incorporated in Maryland)

既然是每年盈利百万美元的商业公司, 虽然不敢苛求它把大部分的盈利投给 OpenSSL 项目, 但即使只拿出一小部分,也会和官方宣传里强调每年 2000 美元的捐助有巨大落差。

Btw
OpenSSL 基金会官网首页上的介绍是这样的:
The OpenSSL Software Foundation (OSF) is a corporate entity representing the OpenSSL project for the purpose of providing financial support in the form of support contracts, consulting services, and donations.

Ref:
http://www.openbsd.org/papers/bsdcan14-libressl/mgp00008.txt
http://blather.michaelwlucas.com/archives/2071?


附带一句, 在 Heartbleed 前,OpenSSL 团队并没有向外界透露过其缺钱或是缺人。
11
2015-02-03 01:14:38 +08:00
@glasslion 好久没见到把「盈利」和「营利」用对的人了,赞一个。
zhicheng
2015-02-03 03:54:37 +08:00
楼主顶在风口浪尖说实话不安全,要知道大多数人是很容易被煽动的。
至于 OpenSSL 怎么赚钱就不说了。如果你真的用 OpenSSL 写过代码,你*一定*不愿意给他们捐钱。
phoenixlzx
2015-02-03 04:04:41 +08:00
但是不管怎么说,现在半数以上的服务器在使用 OpenSSL 。个人能力有限,赞助一点表达心意而已。毕竟用了这么久他们开发的东西。

当时 LibreSSL 项目成立的时候记得还有不少人把它当笑话看,现在不知道如何了。

.... 以及楼上别说那么恐怖啊
JmmBite
2015-02-03 04:13:54 +08:00
借用《武媚娘传奇》 的一句话:“这人哪,总是善于夸大自己的善意跟仇恨,却羞愧与自己的欲望。”
aveline
2015-02-03 04:25:09 +08:00
@phoenixlzx 写过觉得 API 设计很烂是真的 ... 不过我本来也没有想给他们捐钱 233
missdeer
2015-02-03 09:12:15 +08:00
@aveline @phoenixlzx 同8楼,我还以为所有加密码学函数库都一样难用呢。
freegink
2015-02-03 12:35:26 +08:00
@aveline 听起来像嘲笑windows 3.1 设计的难看一样
JingXiao
2015-02-03 14:16:45 +08:00
前面刚看到老罗捐100W给OpenSSL的帖子,里面有这么好像有这么一段,摘自

http://m.jiemian.com/article/231843.html

史蒂夫·马奎斯能理解这些批评:互联网上那么多人,总会有某人因为某事而感到不满。可他很想对他们说:“抱歉,我们搞砸了。要不,退你们钱好了。”他接着想了想,“啊哦,你们压根没付过钱呀。”

......
semicircle21
2015-02-03 22:04:33 +08:00
@missdeer @aveline @zhicheng
同感, openssl 的 api 设计的非常烂, 不那么出名的 Crypto++ 和 Bouncy Castle 系列就完全不在一个档次上.

@freegink 这个道理是说不通的, 那么多年没有进步是不对的, 就好像 2015 年大家还在用 windows 3.1 一样.
freegink
2015-02-04 08:24:00 +08:00
@semicircle21 其实更应该说其他的没有进步。否则也不会到2015年了,三分之二的web server还在用openssl。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/167740

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX