杭州网站建设蒙特信息 2014-4-21 译

　　上周的Heartbleed网络错误揭示了一个惊人的事实。软件保护银行、电子邮件、社交媒体和政府维护的只有少数人。

　　他们都是志愿者。且只有一个它作为一个全职工作。

　　爱是OpenSSL的劳动,一个免费的程序,获得了大量的在线交流。和两年前这是一个微小的编码错误导致Heartbleed错误,一个洞,让攻击者可以窥视到电脑。上周在错误被迫紧急变化等主要网站 脸谱网 (神奇动物, 财富500强), 谷歌 (google, 财富500强)和 雅虎 (yahoo, 财富500强).

　　但安全专家说OpenSSL是严重资金不足,人手不足,很大程度上被忽视。

　　错误直到最近才发现,因为OpenSSL软件基金会没有正确地��查每一个变化的资源软件,目前近一百万行代码。然而程序警卫绝大部分我们的商业和政府——包括武器系统和智能手机,索赔的基础。

　　相关故事:Heartbleed错误解释道

　　“神秘不是几个劳累志愿者错过了这个bug,神秘的是为什么没有发生更频繁,”史蒂夫•侯爵基金会的主席说一封公开信.

　　当权衡网络安全的重要性,OpenSSL极少的预算。它从未收到超过100万美元一年,侯爵说。唯一的联邦政府的支持上市的在线是一个从美国国防部20000美元的续约合同。

　　而从国土安全部基金会收到钱, Citrix (颇具启发性)和其他人来说,绝大多数的资金是来自特定work-for-hire合同。公司希望某个功能添加在这里,一个特定的函数。它使开发人员很忙。但侯爵说没有钱向评审代码或执行审计。

　　事实上,唯一的人在这个全职工作是斯蒂芬•汉森极其私人生活在英国数学家称为侯爵置评。只有少数其他开发人员投入与任何一致性,和侯爵告诉CNN他们的总劳动也许两个全职工人。

　　黑客是如何击败Heartbleed错误

　　即使在Heartbleed之后,该基金会只收到了9000美元,引发了侯爵公开免费使用OpenSSL的公司。

　　“我看着你,财富1000强企业,”他写到。

　　Heartbleed之后,这对OpenSSL缺乏资金可能敲响了警钟。

　　创业公司和大公司经常使用开源软件,因为它的自由分布和成本。但他们很少贡献以��元或捐赠。没有重要的外界帮助,捐赠专用人员和金钱没有附加条件——这样的开源项目都处于无果而终的风险或吹在我们的脸上,说Azorian网络安全创始人查尔斯Tendell。

　　“如果你买了你的车,知道这是由志愿者,你会是什么感觉呢?”Tendell问道。

　　少数公司提供一些帮助。Facebook和微软赞助bug赏金通过HackerOne程序——基本上支付黑客找到错误,需要修复。和谷歌安全研究员,Heartbleed梅赫塔,谁发现了bug。

　　其他人都相信是时候芯片。最初反应的马克•Gaffan cloud-security提供者的创始人之一Incapsula,是:“你希望什么?你有这个免费。你得到你支付。“但事实证明他的公司依赖于OpenSSL。当被问及他会以身作则,Gaffan承诺他的公司将首次捐赠。

　　相关故事:Post-Heartbleed,现在改变这些密码

　　最近的恐慌已经白宫的注意。现在奥巴马政府“采取强硬看看OpenSSL等广泛使用的工具是否有更多的联邦政府需要做的,包括支持研究和发展,“国家安全委员会发言人劳拉·卢卡斯Magnuson说。

　　然而,有一个捕捉。政府只能如此接近没有引发担忧,实际上破坏了网络通信的安全,特别是在爱德华·斯诺登的披露国家安全局的广泛的监控程序。前国家安全局加密工程师Randy Sabett现在科技隐私律师厄尔律师事务所,希望开源社区将忧虑。

　　“公众不希望政府参与商业互联网的设计,”他说。“他们不希望后门。”

　　本文由杭州网站建设翻译