[華盛頓]
史蒂夫·馬奎斯隱居在華盛頓郊外的一棟小木屋里,沒有電視、沒有手機信號。服務商每年都保證信號塔就要立到他家門前了,可從來沒兌現過。除此之外,小木屋周圍綠樹環抱、鳥語花香,很適合做超級英雄不用拯救世界的周末去處。
“我老了。老到還記得穿孔卡片和真空管電腦的時代。那會兒沒有軟件專利權這回事,IBM之類的電腦商會把軟件隨主機附贈。從那時起,我就對開源著了迷。”
史蒂夫·馬奎斯已經從野雞大學畢業許多年,當過美國國防部咨詢顧問也注冊了軍火商執照,終于把購房貸款還清,連女兒都已經到了大學畢業的年紀。
他話多卻有點耳背,平時愛好喝酒打獵,余下的時間都用來守護那個有史以來應用最廣泛的開源密碼庫項目——OpenSSL。如果OpenSSL代碼存在漏洞,全球三分之二的網站服務器將會受到影響。黑客甚至可能直接對個人電腦發起攻擊,上億互聯網用戶從私密博文到銀行卡密碼都將不保。
自創立之初,OpenSSL就開放源代碼接受所有改進和質疑。和維基百科類似,這個開源項目不屬于任何商業公司,每一行代碼都依靠世界各地程序員們在閑暇周末的自愿貢獻。為了維護服務器、購置新設備、雇傭外包驗證測試,OpenSSL接受公眾捐款,也會接一些與項目完全無關的編程工作換取報酬。
十五年來,OpenSSL每年得到的捐款收入始終徘徊在可憐巴巴的兩千美金。說出去大概沒人會信,但這個保障了半個互聯網安全的密碼庫項目實際上只雇得起兩個全職員工,兩人都叫史蒂夫,跟美國隊長重名。
第一個史蒂夫姓漢森,是英國人、圖論數學博士、電影里那種連講電話都含羞的編程天才。他辭掉原先的工作,全職投入OpenSSL的建設,每年收入驟減到兩萬美元。要知道,在硅谷,一個剛畢業的年輕律師一個月就能輕松入賬一萬。第二個史蒂夫就是前國防部顧問馬奎斯。他負責管理OpenSSL基金會,記賬、填表、接受采訪,擔任高能程序員們跟現實世界的唯一紐帶。
去年夏天,森林綠意蔥蘢,史蒂夫·馬奎斯坐在他沒有手機信號的小木屋中,突然收到一封郵件。發件人來自中國,叫“Han Xu”,搞不清哪個是名哪個是姓。他代表一家叫Smartisan的年輕公司詢問OpenSSL項目是否需要一百萬人民幣的捐款。
“要要要!”是史蒂夫·馬奎斯當時的第一反應。他和他的小木屋都太老了,老得沒用過智能手機,更不知道錘子科技。不過,1后面接了六個0,史蒂夫搜索起匯率,相當于十六萬多美元。這將是OpenSSL創立以來得到的最大單筆捐助,超過歷年所有企業與個人捐助額的總和——如果這個中國人不是騙子。
[望京]
名叫“Han Xu”的發件人,為錘子科技工作。他們的總部位于北京市區東北部的望京,一共五百多名員工,官網上的宣言是“用完美主義的工匠精神,打造用戶體驗一流的數碼產品,改善人們的生活質量”。
錘子科技出品的Smartisan OS手機操作系統今年一月剛獲得了極客公園(Geek Park)頒出的年度創新大獎和最佳用戶體驗獎。可僅僅在兩年半之前,大家還覺得錘子科技不過是羅永浩腦袋里搭錯的一根筋。
這個高中輟學生、新東方段子手,從來都不是以程序技術而聞名的。要說起他的特長,英語一定算一項,而另外一項大概就是“說相聲”。在和朋友們創辦英語培訓學校的同時,羅永浩從2009年起開始以《我的奮斗》為題在全國高校進行巡回演講,并推出同名自傳。后來,他在四年里舉辦了四輪《一個理想主義者的創業故事》演講,場場爆滿。“老羅語錄”也被貼在新中關購物中心地下的廣告燈箱,去往地鐵的扶梯邊一路都是,句句不同。等語錄都看完了,也就到了不見天日的地底。
有人說他賣情懷、拿演講稿出書騙錢,羅永浩索性把版稅和演講收入全部捐出,并公布捐贈細節,于是又有人說他追求虛名。在英語培訓學校時期,他捐助的對象是西部陽光農村發展基金會,還組織過英語老師去支教。創辦錘子科技之后,羅永浩決定,仍然把手機發布會門票收入捐給公益機構,但最好是正在推動科技發展的公益機構。錘子的工程師和產品經理同時提到了 OpenSSL。
“說相聲出身”的羅永浩本來從沒聽說過這個名字。他自己上網去查資料,發現這個開源項目與無數互聯網用戶的安全問題息息相關,不少科技巨頭都在免費使用著他們的勞動成果。“我們花了一些時間來討論 OpenSSL 是否是最合適的捐助對象。”羅永浩說,“結論是,無論從對人們日常生活和科技界的貢獻,還是出于一個互聯網使用者的道義,或者是從事件的傳播性以及對科技公司品牌形象的提升效果上考慮,他們都是我們觀察范圍內最應該被捐助的。”
正是2014年5月,史蒂夫·馬奎斯的小木屋本來歲月靜好,OpenSSL卻遭遇“心臟出血”(heartbleed)。隊伍中的一名德國程序員在新年假期加班,不小心寫下一串包含漏洞的代碼,直到兩年后才被谷歌工程師檢查出來。“心臟出血”漏洞使全球超過半數使用https協議的網站安全受到威脅,黑客甚至可能直接對個人電腦發起攻擊,獲得隱私信息。
由于沒有firefox和linux一樣的顯眼本質, 此前15年來一直運轉過于良好OpenSSL的代碼就像托住冰山的海面以下部分,從大企業到初創公司都用得心安理得。沒人特意向這個開源項目捐款,也沒人操心他們究竟有多少人手、能不能維持生計,反正半個互聯網這么多年來都這么用著。
“心臟出血”爆發后,不少人爭相跟OpenSSL劃清界限。基層程序員批評他們的代碼“令人作嘔”,大公司則比賽著將牽連自身的安全漏洞盡快修復。而開源宣言《大教堂與集市》(The Cathedral and the Bazaar)的作者更是由此認定開源生態存在亟待解決的本質漏洞。
史蒂夫·馬奎斯能理解這些批評:互聯網上那么多人,總會有某人因為某事而感到不滿。可他很想對他們說:“抱歉,我們搞砸了。要不,退你們錢好了。”他接著想了想,“啊哦,你們壓根沒付過錢呀。”
就連不少鼎鼎大名、多年使用OpenSSL代碼的公司也從沒投入一分錢來支持這個開源項目。在偶爾提出要捐款的公司中,有些會臨時反悔、人間蒸發,有些要反復商談“公司商標掛在OpenSSL官網上寬和高至少達到多少像素”,有些則要求史蒂夫和他的程序員朋友們“順便幫個小忙”。
史蒂夫·馬奎斯邊擦獵槍邊憤怒地回復:“如果你想要我們為你的公司‘順便’做商業編程,那就不叫捐助了。那叫雇傭。”
最終,捐款總是來自全球各地、積少成多,連一美分的都有。史蒂夫·馬奎斯很驚訝,一些他在廣播中聽說的最不尊重人權、最限制自由和最不發達的國家,反而有不少人認可開源項目,還設法向基金會的賬號捐了款。可支付平臺總是會抽掉一部分,一美分的捐款就都被抹掉了,史蒂夫忿忿不平。
太平洋這頭,羅永浩也愛忿忿不平。多年以來人們往他身上貼的標簽,除了“胖子”,就是“理想主義者”。可是這回,他終于發現比他還要理想主義的OpenSSL。“我聽說該機構最初的幾名工程師放棄了高薪的工作,而投身于這樣一項公益事業,來維護互聯網的安全。”羅永浩說,“這符合中國人所說的‘俠義精神’,這些人的內心一定有理想主義的支撐。這是我所欣賞的。”
于是,離錘子科技發出第一封郵件還不到十天,史蒂夫·馬奎斯就收到了百萬元捐款——OpenSSL基金會有史以來最大的單筆收入。
這些中國人對他一無所知。他們不知道他隱居在林中木屋、有軍火商執照、耳背、話嘮,也自始至終沒有問過他這筆錢會怎么花、錘子的標志能不能掛上官網顯眼處。但史蒂夫·馬奎斯已經習慣信任陌生人。就連全世界他最好的戰友,他也從來不知道他們長什么樣子。
轉載請注明:北緯40° » 守衛互聯網世界安全的隱武者
