4月8日互聯(lián)網(wǎng)世界兩個(gè)震撼事件，一是“心臟出血”漏洞導(dǎo)致全球網(wǎng)站受到安全威脅，二是XP停止服務(wù)帶給兩億中國XP用戶的電腦安全。

關(guān)于“心臟出血”漏洞，是因?yàn)槎鄶?shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包。本周一，研究人員宣布這款軟件存在嚴(yán)重漏洞，可能導(dǎo)致用戶的通訊信息暴露給監(jiān)聽者。

“心臟出血”漏洞被公開之后，一部分雅虎用戶數(shù)據(jù)在一天之內(nèi)遭到泄露，雅虎發(fā)言人表示：“我們的團(tuán)隊(duì)已經(jīng)在雅虎的主要資產(chǎn)中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財(cái)經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當(dāng)?shù)男迯?fù)措施，我們目前正在努力為旗下的其他網(wǎng)站部署修復(fù)措施。“

亞馬遜也發(fā)布了類似發(fā)言表示正在部署修復(fù)。但是蘋果、微軟這樣堅(jiān)持推行商業(yè)軟件而不是采用開源軟件的公司暫未中槍。

出現(xiàn)互聯(lián)網(wǎng)世界如此大面積安全問題的根本原因還在于：當(dāng)今最熱門的兩大開源網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL。這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二，包括大量熱門的網(wǎng)站。

機(jī)會一、“心臟出血”漏洞導(dǎo)致重新審視開源軟件，全球主要IT服務(wù)器將被推動重新采用付費(fèi)的商用軟件，而大量開源項(xiàng)目也會面臨轉(zhuǎn)付費(fèi)項(xiàng)目的機(jī)遇。

20世紀(jì)80年代，自由軟件運(yùn)動拉開序幕，開源軟件的積極發(fā)展推動了應(yīng)用程序的一個(gè)“黃金時(shí) 代”。計(jì)算機(jī)軟件生來就是開源和免費(fèi)的。1976年2月3日，比爾·蓋茨發(fā)表了著名的《Open Letter to Hobbyists》(致電腦業(yè)余愛好者的一封公開信)，提出了軟件“版權(quán)”(Copy Right)的概念，正式宣告進(jìn)入商業(yè)軟件時(shí)代，隨后商業(yè)軟件領(lǐng)域崛起了一個(gè)個(gè)巨無霸。

開源軟件曾一直受到商業(yè)軟件的強(qiáng)力壓制，但是幾乎每一款成功的商業(yè)軟件背后，總有一款比較成功的開源軟件，如Linux之于Windows，MySQL之于Oracle，商業(yè)軟件過高的價(jià)格是開源軟件令“野火燒不盡，春風(fēng)吹又生”。微軟鮑爾默曾將開源與Google和蘋果并稱為微軟的三大勁敵。

然而，隨著軟件日益互聯(lián)網(wǎng)化，開源軟件在一些領(lǐng)域開始超越商業(yè)軟件。

在排名前1000的高流量網(wǎng)站中，開源服務(wù)器軟件Nginx占據(jù)了34.9%，已經(jīng)取代了Apache（34.5）第一名的位置。將范圍擴(kuò)大到前百 萬網(wǎng)站時(shí)，Nginx已超過Microsoft，位列第二。全球范圍內(nèi)，有上億個(gè)網(wǎng)站使用了Nginx，大約占14.55%。類似Netflix、 Hulu、Pinterest、AirBnB、WordPress.com、GitHub、SoundCloud、Zynga、Evenbrite及Zappos這些網(wǎng)絡(luò)重量級公司都使用了Nginx來服務(wù)他們的網(wǎng)站。

Apache開源技術(shù)則是近十年改變?nèi)�球IT世界的重要力量，Apache HTTP服務(wù)器項(xiàng)目主要致力于為現(xiàn)代操作系統(tǒng)開發(fā)和維護(hù)開源的HTTP服務(wù)器，其中包括Unix和Windows NT。自1996年4月以來，Apache就變成了互聯(lián)網(wǎng)上最流行的Web服務(wù)器。連續(xù)18年，Apache HTTP服務(wù)器都是全球Web服務(wù)器的領(lǐng)軍者，為上億個(gè)網(wǎng)站提供服務(wù)。

以下是淘寶網(wǎng)對采用 Nginx的說明：淘寶網(wǎng)是亞洲最大的電子商務(wù)網(wǎng)站，每天訪問淘寶網(wǎng)的PV超過了幾十億。大壓力的訪問，對淘寶網(wǎng)的Web服務(wù)器提出了嚴(yán)苛的要求。經(jīng)過一系列的對比，我們最終選擇了Nginx作為我們的Web服務(wù)器，因?yàn)樗�性能高，又非常�?jié)省資源（CPU和內(nèi)存），并且有足夠的靈活性。

雅虎、Google、亞馬遜、Facebook等互聯(lián)網(wǎng)新霸主，都大量采用免費(fèi)的FreeBSD、Linux、Apache Web Server等開源軟件搭建自己的系統(tǒng)，在開源軟件的“哺育”下崛起的。開源軟件有助于他們成本降低和技術(shù)水平提升。

但是，應(yīng)該看到本次“心臟出血”漏洞反映出基于開源軟件構(gòu)建的IT世界不堪一擊！全球2/3網(wǎng)站采用當(dāng)今最熱門的兩大開源網(wǎng)絡(luò)服務(wù)器Apache和nginx，此次全部中招！

開源社區(qū)的本質(zhì)允許IT人員來檢查一個(gè)產(chǎn)品的源代碼，改善或改變代碼。 “心臟流血”帶來的最重要的教訓(xùn)“這些漏洞都比較隱秘，如果只是看代碼的話，是無法發(fā)現(xiàn)。這次是因?yàn)楣雀铏z測程序足夠嚴(yán)格，發(fā)現(xiàn)了這個(gè)漏洞，但是對于任何依賴開源安全軟件的網(wǎng)站來說，都應(yīng)該進(jìn)行反思為什么開源軟件如何脆弱和不堪一擊。

這次罪魁禍?zhǔn)譕penSSL軟件是套開放源代碼的SSL套件，其函式庫是以C語言所寫成，實(shí)作了基本的傳輸層資料加密功能。OpenSSL軟件是以 Eric Young以及Tim Hudson兩人所寫的SSLeay為基礎(chǔ)所發(fā)展的，但是SSLeay隨著兩人前往RSA公司任職而停止開發(fā)。1998年12月23日發(fā)布第一套 OpenSSL軟件版本，此后大概兩年更新一次版本。

目前這場安全風(fēng)波給2/3的全球網(wǎng)站帶來安全漏洞，教訓(xùn)已經(jīng)很明顯。但是盡管有2/3全球網(wǎng)站使用OpenSSL，這項(xiàng)開源的協(xié)議在過去的歲月中因 為缺乏足夠的資金進(jìn)行發(fā)展，一直進(jìn)展緩慢。OpenSSL大約兩年前就已經(jīng)存在這一缺陷，但是因?yàn)槿鄙賴?yán)格的測試而沒有被發(fā)現(xiàn)。

當(dāng)目前網(wǎng)站出現(xiàn)安全問題，由于不是付費(fèi)的商業(yè)軟件，網(wǎng)站根本找不到相關(guān)負(fù)責(zé)人，只能依靠自己的技術(shù)力量進(jìn)行補(bǔ)漏，這不僅浪費(fèi)時(shí)間而且不是每家網(wǎng)站都有這樣的技術(shù)力量來補(bǔ)漏。

Red Hat 、SUSE等開源軟件公司都已推出商業(yè)版本，2013年8月開源服務(wù)器軟件Nginx也發(fā)行了其商業(yè)版本。此次令全球互聯(lián)網(wǎng)公司手忙腳亂的安全事件發(fā)生后，不僅推動全球市場商業(yè)軟件的普及，而且預(yù)計(jì)開源項(xiàng)目轉(zhuǎn)推商業(yè)版本也將掀起新的高潮。

上世紀(jì)90年代末，全球應(yīng)對“2000年蟲”事件，軟件界年份時(shí)間以兩位數(shù)計(jì)，到2000時(shí)所有軟件系統(tǒng)將自動清為00，而由此引發(fā)全球軟件內(nèi)核修補(bǔ)軟件，帶來數(shù)百億的軟件外包機(jī)會，推動中國印度軟件外包的發(fā)展。

對比上次“2000年蟲”事件，此次“心臟出血”漏洞影響更深遠(yuǎn)，將帶來超千億的市場機(jī)會！這對中國軟件界也是重大機(jī)會。

機(jī)會二、微軟宣布對XP停止服務(wù)，給中國安全軟件企業(yè)及自主研發(fā)操作系統(tǒng)帶來巨大商機(jī)。

互聯(lián)網(wǎng)數(shù)據(jù)中心報(bào)告顯示，XP在沒有更新的情況下，其病毒感染幾率是Win8的6倍。XP的停止服務(wù)意味著用戶的電腦放棄構(gòu)筑“防御工事”，而網(wǎng)絡(luò)攻擊者們卻可以不斷發(fā)現(xiàn)用戶電腦的漏洞，研發(fā)更先進(jìn)的“武器”，進(jìn)行更有針對性的攻擊。有企業(yè)IT管理人員擔(dān)心最怕的是發(fā)生爆發(fā)沖擊波、震蕩波之類的蠕蟲病毒。(責(zé)任編輯：韓杰)