OpenSSL“大管家”Steve Marquess：“心臟出血”重創後的OpenSSL（圖靈訪談）

導讀：

涼爽愜意的九月天，我們迎來了OpenSSL開源社群的第一次中國之行。此次行程由白山雲科技（BaishanCloud）的技術代表楊洋全力促成，他們一行人先後拜訪了阿里、錘子科技、騰訊、百度等國內知名的網際網路公司。“圖靈訪談”有幸受邀，參加了OpenSSL在北京的技術分享交流活動，並對Steve Marquess（OpenSSL的創始人之一和社群的“大管家”）、Tim Hudson（OpenSSL前身SSLeay建立者，OpenSSL創始人之一）以及楊洋（白山雲科技架構師，OpenSSL程式碼貢獻排名18）進行了採訪。

近期，“圖靈訪談”會在圖靈社群、圖靈訪談微訊號、一點號等平臺先後呈現三位嘉賓的訪談實錄。請讀者朋友持續關注。

楊洋（左一）、Tim Hudson（左二）、Steve Marquess（右一）

訪談嘉賓：

Steve Marquess, OpenSSL創始人之一，管理委員會會員，OpenSSL團隊“大管家”。

Steve畢業於約翰霍普金斯大學，曾擔任過美國國防部顧問。目前作為董事長和CEO運營Veridical Systems公司，為美國國防部提供諮詢服務。

Steve在這次的交流活動中，分享了OpenSSL的發展歷程、最嚴重漏洞——HeartBleed事件、社群當前的執行狀況，以及參與OpenSSL開發的事宜。印象最深的是，這個開源社群足夠坦誠、足夠開放。OpenSSL會把專案管理的規則清清楚楚地寫出來，甚至公開談論他們的資金不足問題。我想，這是因為他們的目標是為儘可能多的人，永久免費地提供最好的安全服務。

訪談實錄：

為什麼會加入到OpenSSL的貢獻工作？

Steve： 我之前從事一種相對自由的諮詢工作，類似自由職業者。客戶來自各行各業，專案也各不相同，做了40多年。確實也跟軍方合作過一個專案，是關於醫療裝置方面的工作，並不像網上謠傳的那樣參與過軍火交易，比如說槍、導彈這些東西從來沒有參與過。

辭去之前的工作來做OpenSSL，是因為我有退休金，哪怕不工作也可以養活自己。經濟條件能夠讓我辭掉原來的工作。我也不是一下子完全辭掉的，也是慢慢地減少工作，從兼職變成全職。

你喜歡OpenSSL家族的“大管家”這個稱號嗎？主要負責哪些工作？

Steve： 說實話，我不知道有這個外號，也是第一次聽說，可能是因為中文翻譯的問題吧。總的來說，我現在做的一些事情大多是幕後的工作。並不是很有趣、比較無聊，但是還得有人去做的事情，比如財務，法務，管理我們的資金，跟稅務局打交道。我做了這些事情，其他同事就可以做更重要的事情，寫更重要的程式碼。

OpenSSL開源專案的執行資金從哪裡來？

Steve： 除了來自第三方的捐款，我們主要做一些諮詢方面的專案，比如幫助英特爾這樣的公司。過去五年，我估計有四分之一的營收是從商業性的專案合作中獲得的。

關於籌款，我們有自己的基金會——OpenSSL軟體基金會。作為法律認可的實體形式，它幫助我們接收任何形式的捐款。就我個人而言，Linux基金會在過去也曾給我們捐過錢，資助我們解決了部分僱員的工資。現在OpenSSL並沒有從Linux基金會獲得更多的捐款，不過我們倒是希望獲得更多的捐款。此外，還有以公司名義向我們捐過錢的，比如羅永浩的錘子科技。

OpenSSL現在的資金問題還很嚴重嗎？

Steve： 關於我們到底有沒有足夠的錢這個問題，我想說，總的情況要比之前好了不少，也能夠掙更多的收入。當然，現在也只能夠讓我們僱傭四個全職人員。如果有更多的錢，我們可以僱更多的人，做更多的事情。所以，有機構向我們捐款的話，是最好不過的，我們永遠都是歡迎的。

心臟出血（HeartBleed）事件，對OpenSSL的影響有哪些？

Steve： HeartBleed事件是一個慘痛的經歷，但是也有它的好處，這件事情的發生說明了計算技術和網際網路在很大程度上依賴於OpenSSL。

出了這麼大的事情，對於一個人手有限的團隊來講，我們的日子確實不好過。那段時間，我們特別緊張，不希望未來再有類似的經歷發生。HeartBleed事件讓我們受到了太多的指責，這是意料之中的事，但意料之外的是我們也收到了很多鼓勵的聲音，來自全球各地的反饋，甚至包括一些我從來沒有聽說過的非洲國家，以及來自中國的令人鼓舞的訊息。我們先後收到了數百個中國人以及像錘子科技、華為這兩個中國企業的資助。同時，還有很多像白山雲科技這樣的公司，他們的工程師貢獻出自己的才華和時間來幫助OpenSSL。支援OpenSSL的方式不僅限於捐款，還有貢獻你的才能和時間。

如何向沒有技術背景的人，解釋OpenSSL？

Steve：我確實可以想到這麼一個比喻，以前沒用過，今天第一次使用它。OpenSSL對於終端的使用者是隱形的、看不到的，就像是電力設施一樣，普通人並不會想太多這裡面的東西。他們只是知道一開啟開關，燈就會亮，至於牆裡面的電線和電線外面的絕緣體，就不太關注了。因為有絕緣層，電流才沒有到處亂跑，把人給電到。所以，整個網路就像是錯綜的電路，而資訊是裡面的電流，我們的OpenSSL就擔任絕緣層的功能，保證電流不會跑到不該去的地方，不會洩露出去。

和其他競品相比，OpenSSL目前是一種什麼樣的地位？

Steve：我們確實是一個佔統治地位或者是主導地位的“絕緣體”牌子。存在一些競爭者，但他們的規模和人數都遠遠不能和我們相比，不管是在商用還是其他開源應用裡，我們的市場佔比都非常大。

OpenSSL的這次中國之行讓你見到了很多中國的使用者，也參觀了很多知名的網際網路公司，這給你帶來了哪些感受？

Steve：就感想而言，我們中間大部分的人都是第一次來中國。之前對中國很感興趣，但都是從書本上了解到的，這次終於可以親身體驗。第一感受就是“大”：人口很多，城市非常大，機場建得也非常大（我們不得不在機場裡來回轉悠），還有很多大公司，他們做一些很遠大的事情。這次我能夠親眼看到和體驗到中國，很高興。另外，我本人也不是從一個小國家來的，是美國呀，又不像澳大利亞。（注：這裡Steve 在調侃Tim Hudson。Tim是紐西蘭人，住在澳大利亞，面積相對小的國家。）

在過去的一個星期，我們去了很多公司，阿里巴巴、華為、騰訊、百度、白山雲科技、錘子科技等，沒有發現什麼根本上的區別。就我而言，這些公司跟美國及其他一些西方國家的公司沒有什麼區別，一樣的辦公桌、手冊、文件......另外我想說明的是，西方國家的許多公司裡也有很多的中國員工。Tim Hudson說的是對的，相比羅曼語系的程式設計師，中國的程式設計師確實有語言溝通方面的障礙，在這方面要付出更多的努力。

注：

心臟出血事件：是一個出現在加密程式庫OpenSSL的程式錯誤，首次於2014年4月披露。該程式庫廣泛用於實現網際網路的傳輸層安全（TLS）協議。只要使用的是存在缺陷的OpenSSL例項，無論是伺服器還是客戶端，都可能因此而受到攻擊。此問題的原因是在實現TLS的心跳擴充套件時沒有對輸入進行適當驗證（缺少邊界檢查），因此漏洞的名稱來源於“心跳”（heartbeat）。——摘自維基百科

---

更多精彩，加入圖靈訪談微信！