HeartbleedOpenSSLBug揭示了开源软件的真实成本

更新时间: Sep 04, 2019  作者:刘断罪无尽  来源:

每天都会有关于Heartbleedbug所构成威胁的新报告。但Heartbleed的发现也发现了多年来一直困扰着开源社区的丑闻。

丑闻是巨型企业无法为免费开发,测试和验证做出贡献。他们是纯粹而简单的接受者。

没有什么比德国开发人员首先揭露的细节更明显,RobinSeggelmann博士。

看来Seggelmann博士正在度过他年终假期的工作来修复第一版OpenSSL中的漏洞,OpenSSL是加密软件,成为互联网上的标准。在此,Seggelmann开发了一种创建心跳功能的方法,可以使加密会话保持开放而不是随着时间的推移而超时。

在这种意义上,心跳的想法是向会话远端的计算机确认链路仍处于活动状态,从而减少了对注销然后重新建立加密会话以传输更多数据。通过这样做,他创造了一种通过消除握手延迟来显着减少这些连接中的延迟的方法。这是一个非常好的主意。

但正如在开发过程中经常发生的那样,博士塞格尔曼犯了一个错误。它忘记指示一个结束变量,这反过来可能导致缓冲区溢出,从而可以在远程端的服务器内存中显示多达64千字节的数据。这个错误当时没有被捕获,最终在生产代码中结束。

那么为什么错误没有被抓住?博客圈中有很多关于此的猜测,有些人认为这是国家安全局的邪恶情节。其他人暗示开发人员不称职。实际上,两者都不是真的。这是一个编码错误,纯粹而简单。它没有被捕获,因为全世界只有少数人免费开发OpenSSL。

这是一个开放的,免费的软件开发环境的想法,其中在这种情况下,整个社区的程序员共同努力创建每个人都需要的软件。这是一个问题,因为它假设将有一个庞大的开发人员社区,所有人都会随着时间的推移检查代码,寻找错误。

但在现实世界中,开源软件开发了然后发布到生产中,因为社区中很少有人理解它,所以很少进行检查。

(责任编辑:创盈彩票app)

本文地址:http://www.transkk.com/wenjiaoyongpin/mingxinpian/201909/5334.html

上一篇:VMware宣布推出虚拟化解决方案 下一篇:没有了