由于Heartbleed漏洞，OpenSSL項目在最近幾周受到了嚴格的審查。雖然OpenSSL基金會已經(jīng)公開要求更多的資金來推動這項發(fā)展，但它現(xiàn)在開始推動OpenSSL的新選擇。在開源開發(fā)模式下，當出現(xiàn)爭議，一個團隊想要進行不同方向的項目時，就會出現(xiàn)分叉，這也正是現(xiàn)在OpenSSL正在發(fā)生的事情。

開源BSD操作系統(tǒng)社區(qū)現(xiàn)在已經(jīng)正式分支了OpenBSD代碼，并且正在構建自己的開源密碼庫LibreSSL。

OpenSSL的衍生產(chǎn)品是對Heartbleed漏洞的直接回應，該漏洞于4月7日首次公開披露。OpenSSL是一個開源加密庫，用于向網(wǎng)站和嵌入式技術提供安全套接字層(SSL)服務。Heartbleed漏洞可能允許攻擊者從易受攻擊的服務器讀取數(shù)據(jù)。這是對加拿大稅務局和安全公司火眼的客戶的攻擊。

當Heartbleed的消息第一次爆發(fā)時，我聯(lián)系了OpenBSD的創(chuàng)始人西奧德拉德(Theo de Raadt)，他一直是豐富多彩評論的重要來源。OpenBSD是一個使用OpenSSL的開源操作系統(tǒng)，領導了包括OpenSSH在內的許多重要開源工作。我很好奇圍繞Heartbleed漏洞的泄露過程，這個漏洞讓數(shù)億最終用戶面臨風險，盡管不知何故，一些服務(包括谷歌和CloudFlare)已經(jīng)提前得到通知。

“我們沒有收到任何通知，”德拉特告訴我。“我從酒吧回來后，遇到一個參加當?shù)鼗ヂ?lián)網(wǎng)交流的人，發(fā)現(xiàn)四個開發(fā)人員一直在勘誤工作。我認可他們的不同之處，因為它們不會導致ABI(應用程序二進制接口)損壞，并簽署和發(fā)送了補丁?！?

現(xiàn)在，OpenBSD不再只是等待OpenSSL項目一起行動，而是通過將項目分支并創(chuàng)建LibreSSL來處理這個問題。LibreSSL項目還處于起步階段，目前的目標是將其納入OpenBSD 5.6以及后續(xù)的其他操作系統(tǒng)中。我懷疑它將包括基于紅帽和基于Debian的Linux。

根據(jù)LibreSSL項目頁面顯示，一旦通過加拿大非營利OpenBSD基金會有穩(wěn)定的資本投入，就會出現(xiàn)多操作系統(tǒng)支持。LibreSSL已經(jīng)有一些正在積極開發(fā)的代碼，看起來像是對OpenSSL的大規(guī)模清理。

LibreSSL project page指出：“我們知道，你們所有人都希望明天，我們盡可能快地工作，但我們主要關注的是我們認為可以運行的優(yōu)秀軟件?！薄拔覀儾幌雮愕男??！?

LibreSSL項目是一個很好的例子，說明了為什么開源是開發(fā)軟件的一個很好的方法。當事情不順利的時候，你可以把源代碼分支到另一個方向去使用。嘗試使用專有代碼。