游客

NTP世界的一条裂缝:NTP Classic vs NTPsec

游客 2017-02-21 16:26:40    201241 次浏览

OpenSSL 项目在 2014 年曝出了 Heartbleed 高危漏洞,促使主要互联网公司合作创建了 Core Infrastructure Initiative 计划,资助那些默默无闻缺乏资金但又被广泛使用已成为互联网基础设施一部分的开源项目。

首批获得赞助的项目包括了 Network Time Protocol(NTP)、OpenSSH 和 OpenSSL。尽管 NTP 项目得到了资助,但对于主要维护者 Harlan Stenn 来说未来依旧悬而未决

Stenn 在寻找帮助过程中开始与 Eric S. Raymond 和 Susan Sons 展开合作,但这一合作并不顺利,双方的观点并不同步,后者突然提出 “旨在拯救 NTP”的新计划,Stenn 对此相当不满,他是来寻找帮助而不是寻找拯救,认为所谓的拯救是不切实际的。最终合作以 ESR 和 Sons 创建新分支 Network Time Protocol Secure (NTPsec) 告终,他们将旧的项目称为是 NTP Classic。

Sons 曾在公开场合评论过 NTP 或 NTP Classic,称它是一个摇摇欲坠的项目,由难以联系的开发者维护,代码已经过时,无法保证在不同的系统重复结果。

Sons 还称,NTP 的安全补丁需要几个月时间才会发布,但同时补丁却还秘密的流传和泄漏。她还对由年长的开发者维护互联网基础设施底层代码表达了担忧,称这些程序员年龄比她的父亲还大,早应该退休了,称构建服务器的 root 密码还曾丢失过。

她的言论被众多媒体的广泛传播,但 NTP 开发者 Stenn 对此有不同说法,指出 root 密码丢失的故事完全是虚构的,称没听说有人报告在不同系统上不能重复结果,他对 NTPsec 的贡献者缺乏必要的经验表达了担忧,称开放、透明和欢迎所有贡献者的自由软件理念在实践中需要打折扣,接受代码不是一个民主的过程,而是一个科学的过程。他称,创造性破坏对于提供互联网核心架构而言是一种糟糕的方法。

内容加载中