*BSD中文用户社区

Linux支持者的曲解和OpenSSH的无奈

ZDNET安全频道时间：2008-06-12作者：goodboy1881 | 巧巧读书
本文关键词：Linux ssh openssh
　　大家都看见了，最近OpenBSD项目组又开始向社区寻求资助，因为他们的开发活动已经无法进行。况且他 们要的也不多，只有十万美金（相对于操作系统这个行业来说，简直就是小菜一碟）。虽然OpenBSD项目组对这个操作系统软件世界作出了太多的贡献。
　　即使 你没有直接使用OpenBSD系统，你也在不知不觉中受惠，假如你使用Solairs、SCO UnixWare、Red Hat Enterprise Linux或者SUSE Linux，我敢打赌你肯定是在使用OpenBSD项目组开发的openssh来远程管理你的机器。虽然有这么多人使用她，但是又有几个对她有所回报呢？ 那些所谓的大公司，比如升阳微系统公司、IBM、Novell和Red Hat等等有的有反映，有的什么反映都没有，假如你就是一个吃白食的，你的理由是什么呢？
　　当她消失，您将永远失去
　　在2004年对OpenBSD项目的领导人Theo de Raadt的一则访谈中，他曾经提到过，他们对openssh的投入比OpenBSD还要大。她现在包含在绝大部分的非视窗操作系统中，这其中包括网络交 换机，比如一半的Cisco的产品中都还有openssh的贡献。他们的使用范围非常广，从Arrecibo到希腊军方。但是我们又从用户手中得到什么？ 什么都没有！
　　是，还有专有软件产品公司实现的ssh方案，但是我可以说openssh是使用最广泛的，就是这样，那些专有软件的ssh实现方案是收费的，每台工作站的授权费是150美金，而openssh不收费。
　　其他的项目组，从理论上来说，可以从openssh项目中派生出更好的项目，但是有哪个通讯软件不通过基于openssh来加强他们的安全等级？ openssh不像某些安全性能方面低质的工具，比如telnet或者BSD Mail。可以说，她是目前唯一的基于TCP/IP通讯的安全解决方案，就算你不直接使用openssh，有些你所依赖的程序（比如scp命令），他们也 是通过使用openssh来创建一个在网络上的安全通道。
　　因为大部分的程序员在为OpenBSD工作的同时，也在为openssh效力，所以openssh项目也积累了很大一部分的安全代码和安全相关的功能。
　　有些人会这样想，“我没有使用OpenBSD，所以我没有必要帮助他们。”这正是我所担心的事情，因为openssh和OpenBSD是互动的，两者是相互裨益的，假如有个项目失去了活力，那么这种跛行是不能长久的。
　　有些狂热的反BSD用户，私下里商量着将openssh从OpenBSD项目中分离出来，认为这样将更好的保护openssh这个项目。事实上， OpenBSD的管理上还没有出现问题，尽管现在OpenBSD的资金问题处于预警线下，但是我想openssh不会和OpenBSD剥离开来的。这也就 是说，openssh的问题在于，无论哪个程序代码维护人员或者项目管理人员再操作她，她都不是依赖于那些依靠他们吃饭的所谓的大公司们的支持，在没有专 职程序员为之工作的情况，openssh的近乎传奇的安全特性值得信赖。
　　只有攫取，没有付出
　　有些吃白食的家伙，比如苹果公司和SCO公司，一点都没有因为他们的行为感到不安，因为他们在专利产品的销售中包含了自由软件的东西在里面，这不难想象， 这些公司生产的操作系统中也包含有OpenBSD，他们对这些付出了劳动的开源软件程序员们又做了什么呢？他们在的开源软件的支持方面又有什么贡献呢？
　　当我们问及Novell公司的时候，就是说，当openssh这个项目不再存在时，他们公司采用替代方案时，将会付出多少代价，公司代表Bruce Lowry是这么说的：
　　“就我所知，你们也清楚，Novell公司是开源社区中积极并富有建设性的成员，我们参与了大约30多个不同的开源软件项目，包括AppArmor、 Hula、Gnome、KDE、Mono、OCFS2、openSUSE.org、Samba和Xen等等，我们在这些项目中所扮演的角色也不一样，有的 是项目领导者，有的是资金赞助，还有的就是雇佣他们的核心开发人员，并帮助他们完善软件，我们必须承认的是openssh是我们操作系统中的重要的一部 分，但是SUSE Linux发行版中包含有大约1000多种的软件包。
　　除了给予这些开源项目以资金资助以外，我们还为他们提供相关代码。
　　就你提出的问题，有各种可能，所以我不能作出很准确的答复，假如openssh中止了开发，Novell公司将会分几步来评估事件的后果。有可能 Novell公司和其他Linux供应商合伙组建一个委员会性质的组织，继续推进openssh的工作，再说了，船到桥头自然直。我们也无法预测一个现在 还好好的项目，将来突然不能继续运作下去，她的后果会是什么，一个好的开源项目是鲜活的，是由社区和供应商们共同构建的，我们还没有办法推测Novell 公司在将来可能出现的新的openssh项目中的位置。”
　　自从Solaris 10发布后，在开源领域，还有谁比Sun公司更会抢风头，当我就openssh项目不能维持，即将停止的问题，问及Sun公司代表的时候，我唯一得到的答 复是在Solaris系统中包含由openssh的竞争对手，那就是其自身自带的Sunssh，一个openssh的衍生物，其实大部分的非 Solaris用户根本就不知道这么个东西的存在。
　　就上面Sun公司代表表述的有关openssh的观点，Theo de Raadt告诉我说，那些真正想在自己的Soalris系统上实现最佳的ssh方案的用户，都是在其系统上用openssh代替Sun公司自己的 Sunssh，因为Sunssh是基于5年前的openssh版本上的，还有就是，Sun公司在他们的产品中移除了有关权限分离安全的代码，它的产品太以 来于已经做好安全防伪的Solaris系统，但是实际上使得ssh实现的很糟糕。
　　IBM公司也是开源软件的积极支持者，他们支持的大部分是GNU/Linux，but are they all hat and no cattle when it comes to supporting actual open source developers?IBM在他们的产品中也包含了openssh，比如z/OS、AIX和OS/400等等，他们的任务是控制公司里最值钱而且性能最 强大的机器，当被问及在openssh项目停止后，他们会有什么打算的时候，他们好像没有一个给我答案，也没有发行他们对没有openssh的AIX和 z/OS有什么看法，在这篇文章发布的时候，IBM也没有作出像样的答复，也许他们正在忙着将客户的抱怨向我们的openssh的开发者们倾诉。
　　而且IBM还经常将他们的客服转嫁到openssh支持服务上来，真的有点为IBM感到丢脸，它和别的公司签合同，挣大钱，葬活累活由openssh的邮件列表用户来承担。
　　红帽公司对我提出的问题也采取了和IBM同样的办法，最后答复我说，他们没有任何评价。也许这就意味着这个对于红帽操作系统至关重要的网络工具的离去，将 对他们的产品造成多大的影响。也许他们认为OpenBSD和他们的基于Linux的发行版构成了竞争，但是他们就这么忍心看着OpenBSD挣扎，然后堕 落？进而再失去他们的openssh？
　　OpenBSD项目组对软件世界的贡献不仅仅是openssh，许多再OpenBSD下开发的软件和技术都被转移到了其他操作系统，比如pf（包过滤系统），一种高级防火期软件模块，BSD世界中的发行版都包含有这种软件。
　　OpenBSD项目组对编程开发人员最大的贡献是C库中的strlcpy和strlcat，它使得我们在使用C程序进行流文件的拷贝和整合的时候更加安全，现如今，这些库文件已经移植到了Solaris、FreeBSD和OS X等等。
　　OpenBSD项目组还帮着其他开源软件项目纠错，比如最近在X.org中发现的有关pixmap的库文件bug，这个bug已经存在了将近10年了。
　　您如何帮助openssh
　　假如那些使用openssh的公司都不支持openssh了，我们就只有指望我们的用户了，那么如何来帮助我们呢？最简单的就是给openssh捐赠，还有就是可以购买我们的OpenBSD光盘。在捐赠或者帮助我们的同时，您不光可以为安全的自由软件世界作出贡献，而且还可以进入OpenBSD的奇妙世界。

leo 写了:再转载一篇ZDNET安全频道在2008-06-12发表的文章，作者：goodboy1881，原文地址:http://security.zdnet.com.cn/security_z ... 2193.shtml

历史
　　1998年2月23日，网景公司建立了Mozilla组织，让它来协调Mozilla Application Suite的开发。尽管Firefox基金会主要由网景公司的员工组成，但是理论上，它是独立于网景公司运作的。Mozilla组织声称他们主要开发用于测试目的的Mozilla浏览器，这个浏览器不适合直接为最终用户使用。这个举动导致了Beonex Communicator的成立，这个组织提供最终用户适用的版本（但是，大多数用户还是直接去下载“官方”的Mozilla套件）。

　　当美国在线（AOL，网景公司的母公司）完全的从Mozilla组织中撤出后，Mozilla基金会在2003年7月15日成立了，它的目的是保证Mozilla可以在没有网景以后能继续生存下去。美国在线帮助了Mozilla基金会的成立，它向基金会转移了硬件和知识产权，并且在最初的3个月里雇用了一个3人小组来帮助这次过渡。美国在线并且承诺在2年时间内捐助200万美元给基金会。

编辑本段Mozilla公司

　　在2005年8月3日，Mozilla基金会建立了一个完全拥有的子公司叫Mozilla公司来继续开发和发布Mozilla Firefox和Mozilla Thunderbird。Mozilla公司承担软件发行的计划，市场和一些软件分发相关的活动。它也处理一些商业合作，很多这些合作都带来收入。不像Mozilla基金会，Mozilla公司是一个应税实体，这给它在追逐收益以及其他商业活动带来了更多自由。

编辑本段运作

　　在最初阶段，Mozilla基金会开始涉足比mozilla.org更广的领域，把以前推给网景和Mozilla合作伙伴的事情都拿来做了。在向“面向最终用户”的转型举动中，基金会和一些商业公司签约来售卖包含MozillaFirefox是Mozilla基金会开发的软件的光盘并且提供电话支持服务。在这些举动中，基金会选择了以前Netscape的供应商作为他们的选择。Mozilla基金会变得对自己的知识产权更加的自信，他们推出了自己商标使用的新政策。如市场拓展等的新项目也开始了。

　　随着Mozilla公司的成立，Mozilla基金会把所有的软件开发和商业相关的活动都转移给了这个新的下属机构。Mozilla基金会现在只专注于监管和战略等事宜，它也继续管理一些没有产品化的项目，比如Camino和SeaMonkey。Mozilla基金会现在拥有Mozilla商标和其他知识产权，并且全部授权Mozilla公司使用。基金会还控制着Mozilla的程序源代码库并且决定谁可以提交代码入库。

编辑本段资金来源

　　Mozilla基金会接受捐款作为一个资金来源。在成立的时候，除了美国在线的200万美元捐款，Mitch Kapor也给了30万美元。基金会享有免税资格，当然下属机构Mozilla公司是免税的。
google作为Firefox浏览器的默认搜索引擎
　　基金会也和Google签订的协议，使用google搜索作为Firefox浏览器的默认搜索引擎。另外，一个Firefox风格的google搜索网站被定义为Firefox的默认主页。这个赞助协议的具体金额从来没有被公布过。

编辑本段中国中心

　　Mozilla中国中心（Mozilla China Foundation）是由中国科学院软件研究所和Sun中国工程研究院共同发起，经Mozilla基金会（Mozilla Foundation）正式授权的非营利性机构。中心依托在中国科学院软件研究所。
google


　　Mozilla中国中心的宗旨是传播Mozilla 基金会的文化，在中国地区推动Mozilla项目的发展，帮助中国地区的用户和开发者更好地使用Mozilla基金会提供的源代码、产品及服务。

　　Mozilla中国中心的主要任务包括：

　　（一） 对Mozilla 基金会的产品提供汉化版本；

　　（二） 对Mozilla 基金会网站的重要技术文件、政策性文件提供中文翻译；

　　（三） 组织Mozilla技术论坛及相关研讨会；

　　（四） 对中国地区用户提供技术支持和服务；

　　（五） 根据Mozilla 基金会的方针，在中国地区推动Mozilla项目的发展。

　　（六） 作为国内外交流与合作平台，发挥桥梁和纽带作用。

　　Mozilla中国中心设指导委员会、执行机构和技术委员会等决策、执行及支持机构。中国科学院软件研究所所长李明树博士和北京谋智网络技术有限公司总裁宫力博士担任中心指导委员会主任。

编辑本段人员

　　Mozilla基金会的董事会有7个成员

　　Mitchell Baker (主席)

　　Brian Behlendorf

　　Brendan Eich

　　Joichi Ito

　　Bob Lisbonne

　　Carl Malamud

　　本来Christopher Blizzard是在董事会里面的，但是后来Mozilla公司成立的时候，他去了Mozilla公司董事会，Joichi Ito就接替他加入了Mozilla基金会的董事会。Bob Lisbonne和Carl Malamud于2006年10月入选董事会。

　　基金会还有一些雇员，他们主要负责项目和政策相关的是以：

　　Frank Hecker — 执行董事

　　Gervase Markham

　　Zak Greant

　　Mozilla公司还有一些员工，在公司成立前为基金会服务的。

　　Mozilla的项目通常受一个Mozilla.org的委员会管理，这个委员会的成员后来一般都成了公司董事会成员或者公司员工。

编辑本段轶闻

　　在2006年的时候，OpenBSD的de Raadt请求那些通过发行包含OpenSSH的软件盈利的公司，给OpenSSH提供赞助，Mozilla基金会立刻提供的1万美元的赞助给de Raadt和OpenBSD用于OpenSSH的开发。这笔钱是通过和Google的合作而获得的收入。虽然当时这个赞助请求还发给了很多其他的大公司，如思科、IBM、惠普和红帽公司（他们都销售了包含OpenSSH的操作系统，但是却从来没提供过赞助），Mozilla基金会还是慷慨解囊，因为Mozilla基金会发现，如果没用OpenSSH，他们的很多员工就只能通过不安全的方法工作，所以基金会提供了赞助作为感谢。

　　Mozilla欧洲、Mozilla日本和Mozilla中国是非营利组织，他们的目的是推广和普及Mozilla的产品和项目。他们是独立的机构，虽然和Mozilla基金会是相关联的。

编辑本段相关新闻

　　2008年11月20日Mozilla基金会放出了其2007年财报。其中来自火狐浏览器的收入达750万美元，占总收入的12%，然而同Google搜索合作却带来了6600万的收入，占总收入的88%。(另200万美元的搜索收入也许来自其它搜索引擎)。这么多的收入仅仅来自于Mozilla在火狐浏览器中默认整合的Google搜索。

　　Google对Mozilla的收入贡献比例甚至比2006年更高，当时它占到85%的比例。随着Google刚刚同Mozilla续签了合同，这一数字将在接下来的三年中进一步增长。

　　但是隐藏在财报中的事实是Mozilla基金会正在被国税局审计，而且其非盈利的地位正在受到质疑。

　　“在对基金会的审计中没有对任何事情有正式的通知。有一个涉及到免税地位的问询。管理层相信行动同最初免税的申请是一致的，因此被事先裁定作为非盈利公司。

　　基金会被事先裁定为一个公益公司，这项裁定截止于2007年12月31日。它按要求提交了公众支持测试档案申请事先裁定。尽管基金会因为作为公众团体的公众支持收入在总收入占的比例应不少于33%的标准没有被自动赋予该地位，它相信基于公众支持超过10%的事实和结果测试满足了其作为公众团体的地位。”

　　Mozilla辩称搜索收入应被作为特许使用费，因此并不能记为应予纳税的收入。非盈利企业的支持收入绝大部分来自于一个商业合同的情况只有极少的范例存在。如果国税局的条例反对这一情况，Mozilla将失去其免税的地位。继而会被认定为一个私营基金会而被要求支付2007年大约10万美元的税收。

　　那只是极小的数额，不会对Mozilla造成多大影响——除了它想极力掩盖其作为一个非营利基金会实则每个人都知道其是Google慷慨的武器的事实。还不知道的是Google如何解释其去年付给Mozilla的6600万美元。