[華盛頓]

史蒂夫·馬奎斯隱居在華盛頓郊外的一棟小木屋里，沒有電視、沒有手機(jī)信號。服務(wù)商每年都保證信號塔就要立到他家門前了，可從來沒兌現(xiàn)過。除此之外，小木屋周圍綠樹環(huán)抱、鳥語花香，很適合做超級英雄不用拯救世界的周末去處。

“我老了。老到還記得穿孔卡片和真空管電腦的時代。那會兒沒有軟件專利權(quán)這回事，IBM之類的電腦商會把軟件隨主機(jī)附贈。從那時起，我就對開源著了迷。”

史蒂夫·馬奎斯已經(jīng)從野雞大學(xué)畢業(yè)許多年，當(dāng)過美國國防部咨詢顧問也注冊了軍火商執(zhí)照，終于把購房貸款還清，連女兒都已經(jīng)到了大學(xué)畢業(yè)的年紀(jì)。

他話多卻有點(diǎn)耳背，平時愛好喝酒打獵，余下的時間都用來守護(hù)那個有史以來應(yīng)用最廣泛的開源密碼庫項(xiàng)目——OpenSSL。如果OpenSSL代碼存在漏洞，全球三分之二的網(wǎng)站服務(wù)器將會受到影響。黑客甚至可能直接對個人電腦發(fā)起攻擊，上億互聯(lián)網(wǎng)用戶從私密博文到銀行卡密碼都將不保。

自創(chuàng)立之初，OpenSSL就開放源代碼接受所有改進(jìn)和質(zhì)疑。和維基百科類似，這個開源項(xiàng)目不屬于任何商業(yè)公司，每一行代碼都依靠世界各地程序員們在閑暇周末的自愿貢獻(xiàn)。為了維護(hù)服務(wù)器、購置新設(shè)備、雇傭外包驗(yàn)證測試，OpenSSL接受公眾捐款，也會接一些與項(xiàng)目完全無關(guān)的編程工作換取報酬。

十五年來，OpenSSL每年得到的捐款收入始終徘徊在可憐巴巴的兩千美金。說出去大概沒人會信，但這個保障了半個互聯(lián)網(wǎng)安全的密碼庫項(xiàng)目實(shí)際上只雇得起兩個全職員工，兩人都叫史蒂夫，跟美國隊長重名。

第一個史蒂夫姓漢森，是英國人、圖論數(shù)學(xué)博士、電影里那種連講電話都含羞的編程天才。他辭掉原先的工作，全職投入OpenSSL的建設(shè)，每年收入驟減到兩萬美元。要知道，在硅谷，一個剛畢業(yè)的年輕律師一個月就能輕松入賬一萬。第二個史蒂夫就是前國防部顧問馬奎斯。他負(fù)責(zé)管理OpenSSL基金會，記賬、填表、接受采訪，擔(dān)任高能程序員們跟現(xiàn)實(shí)世界的唯一紐帶。

去年夏天，森林綠意蔥蘢，史蒂夫·馬奎斯坐在他沒有手機(jī)信號的小木屋中，突然收到一封郵件。發(fā)件人來自中國，叫“Han Xu”，搞不清哪個是名哪個是姓。他代表一家叫Smartisan的年輕公司詢問OpenSSL項(xiàng)目是否需要一百萬人民幣的捐款。

“要要要！”是史蒂夫·馬奎斯當(dāng)時的第一反應(yīng)。他和他的小木屋都太老了，老得沒用過智能手機(jī)，更不知道錘子科技。不過，1后面接了六個0，史蒂夫搜索起匯率，相當(dāng)于十六萬多美元。這將是OpenSSL創(chuàng)立以來得到的最大單筆捐助，超過歷年所有企業(yè)與個人捐助額的總和——如果這個中國人不是騙子。

[望京]

名叫“Han Xu”的發(fā)件人，為錘子科技工作。他們的總部位于北京市區(qū)東北部的望京，一共五百多名員工，官網(wǎng)上的宣言是“用完美主義的工匠精神，打造用戶體驗(yàn)一流的數(shù)碼產(chǎn)品，改善人們的生活質(zhì)量”。

錘子科技出品的Smartisan OS手機(jī)操作系統(tǒng)今年一月剛獲得了極客公園（Geek Park）頒出的年度創(chuàng)新大獎和最佳用戶體驗(yàn)獎。可僅僅在兩年半之前，大家還覺得錘子科技不過是羅永浩腦袋里搭錯的一根筋。

這個高中輟學(xué)生、新東方段子手，從來都不是以程序技術(shù)而聞名的。要說起他的特長，英語一定算一項(xiàng)，而另外一項(xiàng)大概就是“說相聲”。在和朋友們創(chuàng)辦英語培訓(xùn)學(xué)校的同時，羅永浩從2009年起開始以《我的奮斗》為題在全國高校進(jìn)行巡回演講，并推出同名自傳。后來，他在四年里舉辦了四輪《一個理想主義者的創(chuàng)業(yè)故事》演講，場場爆滿。“老羅語錄”也被貼在新中關(guān)購物中心地下的廣告燈箱，去往地鐵的扶梯邊一路都是，句句不同。等語錄都看完了，也就到了不見天日的地底。

有人說他賣情懷、拿演講稿出書騙錢，羅永浩索性把版稅和演講收入全部捐出，并公布捐贈細(xì)節(jié)，于是又有人說他追求虛名。在英語培訓(xùn)學(xué)校時期，他捐助的對象是西部陽光農(nóng)村發(fā)展基金會，還組織過英語老師去支教。創(chuàng)辦錘子科技之后，羅永浩決定，仍然把手機(jī)發(fā)布會門票收入捐給公益機(jī)構(gòu)，但最好是正在推動科技發(fā)展的公益機(jī)構(gòu)。錘子的工程師和產(chǎn)品經(jīng)理同時提到了 OpenSSL。

“說相聲出身”的羅永浩本來從沒聽說過這個名字。他自己上網(wǎng)去查資料，發(fā)現(xiàn)這個開源項(xiàng)目與無數(shù)互聯(lián)網(wǎng)用戶的安全問題息息相關(guān)，不少科技巨頭都在免費(fèi)使用著他們的勞動成果。“我們花了一些時間來討論 OpenSSL 是否是最合適的捐助對象。”羅永浩說，“結(jié)論是，無論從對人們?nèi)粘Ｉ詈涂萍冀绲呢暙I(xiàn)，還是出于一個互聯(lián)網(wǎng)使用者的道義，或者是從事件的傳播性以及對科技公司品牌形象的提升效果上考慮，他們都是我們觀察范圍內(nèi)最應(yīng)該被捐助的。”

正是2014年5月，史蒂夫·馬奎斯的小木屋本來歲月靜好，OpenSSL卻遭遇“心臟出血”（heartbleed）。隊伍中的一名德國程序員在新年假期加班，不小心寫下一串包含漏洞的代碼，直到兩年后才被谷歌工程師檢查出來。“心臟出血”漏洞使全球超過半數(shù)使用https協(xié)議的網(wǎng)站安全受到威脅，黑客甚至可能直接對個人電腦發(fā)起攻擊，獲得隱私信息。

由于沒有firefox和linux一樣的顯眼本質(zhì)， 此前15年來一直運(yùn)轉(zhuǎn)過于良好OpenSSL的代碼就像托住冰山的海面以下部分，從大企業(yè)到初創(chuàng)公司都用得心安理得。沒人特意向這個開源項(xiàng)目捐款，也沒人操心他們究竟有多少人手、能不能維持生計，反正半個互聯(lián)網(wǎng)這么多年來都這么用著。

“心臟出血”爆發(fā)后，不少人爭相跟OpenSSL劃清界限。基層程序員批評他們的代碼“令人作嘔”，大公司則比賽著將牽連自身的安全漏洞盡快修復(fù)。而開源宣言《大教堂與集市》（The Cathedral and the Bazaar）的作者更是由此認(rèn)定開源生態(tài)存在亟待解決的本質(zhì)漏洞。

史蒂夫·馬奎斯能理解這些批評：互聯(lián)網(wǎng)上那么多人，總會有某人因?yàn)槟呈露械讲粷M。可他很想對他們說：“抱歉，我們搞砸了。要不，退你們錢好了。”他接著想了想，“啊哦，你們壓根沒付過錢呀。”

就連不少鼎鼎大名、多年使用OpenSSL代碼的公司也從沒投入一分錢來支持這個開源項(xiàng)目。在偶爾提出要捐款的公司中，有些會臨時反悔、人間蒸發(fā)，有些要反復(fù)商談“公司商標(biāo)掛在OpenSSL官網(wǎng)上寬和高至少達(dá)到多少像素”，有些則要求史蒂夫和他的程序員朋友們“順便幫個小忙”。

史蒂夫·馬奎斯邊擦獵槍邊憤怒地回復(fù)：“如果你想要我們?yōu)槟愕墓尽槺恪錾虡I(yè)編程，那就不叫捐助了。那叫雇傭。”

最終，捐款總是來自全球各地、積少成多，連一美分的都有。史蒂夫·馬奎斯很驚訝，一些他在廣播中聽說的最不尊重人權(quán)、最限制自由和最不發(fā)達(dá)的國家，反而有不少人認(rèn)可開源項(xiàng)目，還設(shè)法向基金會的賬號捐了款。可支付平臺總是會抽掉一部分，一美分的捐款就都被抹掉了，史蒂夫忿忿不平。

太平洋這頭，羅永浩也愛忿忿不平。多年以來人們往他身上貼的標(biāo)簽，除了“胖子”，就是“理想主義者”。可是這回，他終于發(fā)現(xiàn)比他還要理想主義的OpenSSL。“我聽說該機(jī)構(gòu)最初的幾名工程師放棄了高薪的工作，而投身于這樣一項(xiàng)公益事業(yè)，來維護(hù)互聯(lián)網(wǎng)的安全。”羅永浩說，“這符合中國人所說的‘俠義精神’，這些人的內(nèi)心一定有理想主義的支撐。這是我所欣賞的。”

于是，離錘子科技發(fā)出第一封郵件還不到十天，史蒂夫·馬奎斯就收到了百萬元捐款——OpenSSL基金會有史以來最大的單筆收入。

這些中國人對他一無所知。他們不知道他隱居在林中木屋、有軍火商執(zhí)照、耳背、話嘮，也自始至終沒有問過他這筆錢會怎么花、錘子的標(biāo)志能不能掛上官網(wǎng)顯眼處。但史蒂夫·馬奎斯已經(jīng)習(xí)慣信任陌生人。就連全世界他最好的戰(zhàn)友，他也從來不知道他們長什么樣子。

轉(zhuǎn)載請注明：北緯40° » 守衛(wèi)互聯(lián)網(wǎng)世界安全的隱武者