楊洋:搭上“安全”這趟行業快車(圖靈訪談)

劉敏ituring發表於2017-11-03
原文網址 : http://www.ituring.com.cn/article/497398
行業圖靈

enter image description here

故鄉兒的“雙城計”

能解釋下,你為什麼是生活在北京和瀋陽兩座城市之間的人嗎?

我是土生土長的瀋陽人,從出生到大學畢業、再到第一次進入職場,所有的事情都發生在瀋陽。因為一些原因,2014年的時候,我到了北京,工作了兩年多。

我是那種難離故土的人,所以一直想著從北京回到瀋陽。瀋陽這座城市,它不像北京有那麼多的網際網路公司,沒有機會讓你瞭解更多的事、見更多的人。我的想法是,能否找到可以遠端辦公的公司,人在瀋陽,工作在北京。非常幸運的是,白山是一家允許自己的員工選擇工作地點的公司,所以去年年底我就來到了白山。現在的狀態是,大部分時間都在瀋陽的家,然後按需服從排程。如果北京或者廈門的研發中心有需要,我就會出差過去。

怎麼對安全系統研發開始感興趣的?

接觸安全開發是因為工作的關係。我的第一份工作是在東軟集團的網路安全事業部研發防火牆裝置,發現安全領域比較有挑戰,很多技術細節都值得去仔細琢磨。所以,從那以後我就一直在網路安全領域工作。

開源專案的貢獻者

成為開源專案OpenSSL前18的程式碼貢獻者,需要付出哪些努力?印象最深的一次社群貢獻是什麼?

開源社群的通用語言是英語,作為母語是漢語的程式設計師,我們最大的障礙就是語言問題。這可能比那些母語非英語的西方程式設計師更加困難,需要付出更多的努力。第二個需要克服的地方是,習慣分散式團隊的協作,講究溝通的效果(以及效率)。

enter image description here

印象最深的一次社群活動應該是新增了一個文件。當時,OpenSSL舉行了一次Code Health Tuesday活動,專案中的一個任務是提交文件。給我最大的感受,就是文件比程式碼還難,因為文件要準確、精煉、地道地講清楚API提供的功能。在review的過程中,被指出了很多語言和文字方面的問題,有些問題在我這個英語非母語的人眼中根本看不出區別。即使是像文件這種看起來並不會直接影響程式碼質量的貢獻,OpenSSL也會非常認真地評審,這可能也是心臟滴血之後整個社群最大的改變之一。

怎麼兼顧工作和社群貢獻的?

我的工作時間,大概是從10:00開始到次日凌晨03:00結束。上午處理自己負責的工作,下午會處理公司裡面的事情,因為下午這段時間對於各地的同事來說都很合適。晚上,我會切換到和OpenSSL成員們一樣的工作時間。大概每天都是這樣!

enter image description here

之所以能兼顧兩方,其實是白山的管理比較開放和自由,支援我去做公益性質的開源專案,讓我可以投入大量精力到OpenSSL上。

持續的動力

其實,這些都是相當耗費時間和精力的,為什麼還能保持這份熱情?包括你這次邀請OpenSSL社群成員的首次來華?

理由其實很簡單,Just for fun!

有些人喜歡在業餘時間看電視劇,有些人喜歡玩遊戲,對我來說就是寫程式碼。就像大學時喜歡玩樂隊,這些同樣帶給我快樂。寫程式碼有的時候跟譜曲有點像,對我來說,都是創作的快樂。

enter image description here

開始接觸OpenSSL,主要是工作方面的原因。最近幾年,網際網路在安全和技術加密方面的發展勢頭很快,OpenSSL起到了非常重要的基礎作用。一定意義上,這更加堅定了我對OpenSSL社群的關注和支援。另外,我認為OpenSSL有著獨一無二的優勢:

1.在同類開源產品中,OpenSSL的使用者基礎最大,使用範圍最廣

2.新技術跟進較快,比如TLSv1.3的支援

3.社群文化更加開放,有明確的團隊章程,這有利於專案的可持續發展

網際網路安全一直是我們國家非常重要的話題,包括成立安全領導小組。這幾年網路安全行業的發展勢頭非常好,所以在騰飛的好時機請到OpenSSL過來,讓他們瞭解中國安全領域在做些什麼事情,瞭解中國公司的需求、技術的發展方向以及中國市場和全球市場的差異。某種程度,這給中國市場和國外市場建立了溝通渠道。

工作中遇到過的、排名前三的安全漏洞有哪些?

比較重大的並且印象深刻的可能只有兩個:心臟滴血和POODLE。這兩個漏洞都曾導致專案中的產品或者服務不得不進行升級或者調整功能,尤其是心臟滴血事件,特別緊急,需要儘快升級專案中的OpenSSL。

POODLE的情況稍微緩和一些,但是也影響了產品和服務的特性,比如禁用SSLv3。

愛的傳遞

為什麼要翻譯《HTTPS權威指南》一書?

當時,我參與了一個跟HTTPS相關的專案,我們的團隊閱讀並主要參考了《HTTPS權威指南》的英文原版Bulletproof SSL裡面的很多技術。這本書對我們的幫助很大,所以就希望把它翻譯成中文,讓更多的中國讀者有機會閱讀到這樣一本優秀的著作。

enter image description here

翻譯過後,原書的什麼內容對你原有的知識體系產生了最大的影響?

原書使用了大量的篇幅來描述SSL/TLS協議的安全問題,包括針對PKI的攻擊,利用實現的缺陷進行攻擊以及針對協議缺陷產生的攻擊等,而這個領域是我之前很少接觸的。原書的這部分內容比較晦澀,翻譯起來也比較困難。要解釋清楚威脅的細節以及如何實施攻擊的步驟,我把一些語言進行了重組,方便用中文表達出來。

更多精彩,加入圖靈訪談微信!

相關文章