“心脏出血”XP停服带来千亿商机

4月8日互联网世界两个震撼事件，一是“心脏出血”漏洞导致全球网站受到安全威胁，二是XP停止服务带给两亿中国XP用户的电脑安全。

关于“心脏出血”漏洞，是因为多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能导致用户的通讯信息暴露给监听者。

“心脏出血”漏洞被公开之后，一部分雅虎用户数据在一天之内遭到泄露，雅虎发言人表示：“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施，我们目前正在努力为旗下的其他网站部署修复措施。“

亚马逊也发布了类似发言表示正在部署修复。但是苹果、微软这样坚持推行商业软件而不是采用开源软件的公司暂未中枪。

出现互联网世界如此大面积安全问题的根本原因还在于：当今最热门的两大开源网络服务器Apache和nginx都使用OpenSSL。这两种服务器约占全球网站总数的三分之二，包括大量热门的网站。

机会一、“心脏出血”漏洞导致重新审视开源软件，全球主要IT服务器将被推动重新采用付费的商用软件，而大量开源项目也会面临转付费项目的机遇。

20世纪80年代，自由软件运动拉开序幕，开源软件的积极发展推动了应用程序的一个“黄金时 代”。计算机软件生来就是开源和免费的。1976年2月3日，比尔·盖茨发表了著名的《Open Letter to Hobbyists》(致电脑业余爱好者的一封公开信)，提出了软件“版权”(Copy Right)的概念，正式宣告进入商业软件时代，随后商业软件领域崛起了一个个巨无霸。

开源软件曾一直受到商业软件的强力压制，但是几乎每一款成功的商业软件背后，总有一款比较成功的开源软件，如Linux之于Windows，MySQL之于Oracle，商业软件过高的价格是开源软件令“野火烧不尽，春风吹又生”。微软鲍尔默曾将开源与Google和苹果并称为微软的三大劲敌。

然而，随着软件日益互联网化，开源软件在一些领域开始超越商业软件。

在排名前1000的高流量网站中，开源服务器软件Nginx占据了34.9%，已经取代了Apache（34.5）第一名的位置。将范围扩大到前百 万网站时，Nginx已超过Microsoft，位列第二。全球范围内，有上亿个网站使用了Nginx，大约占14.55%。类似Netflix、 Hulu、Pinterest、AirBnB、WordPress.com、GitHub、SoundCloud、Zynga、Evenbrite及Zappos这些网络重量级公司都使用了Nginx来服务他们的网站。

Apache开源技术则是近十年改变全球IT世界的重要力量，Apache HTTP服务器项目主要致力于为现代操作系统开发和维护开源的HTTP服务器，其中包括Unix和Windows NT。自1996年4月以来，Apache就变成了互联网上最流行的Web服务器。连续18年，Apache HTTP服务器都是全球Web服务器的领军者，为上亿个网站提供服务。

以下是淘宝网对采用 Nginx的说明：淘宝网是亚洲最大的电子商务网站，每天访问淘宝网的PV超过了几十亿。大压力的访问，对淘宝网的Web服务器提出了严苛的要求。经过一系列的对比，我们最终选择了Nginx作为我们的Web服务器，因为它性能高，又非常节省资源（CPU和内存），并且有足够的灵活性。

雅虎、Google、亚马逊、Facebook等互联网新霸主，都大量采用免费的FreeBSD、Linux、Apache Web Server等开源软件搭建自己的系统，在开源软件的“哺育”下崛起的。开源软件有助于他们成本降低和技术水平提升。

但是，应该看到本次“心脏出血”漏洞反映出基于开源软件构建的IT世界不堪一击！全球2/3网站采用当今最热门的两大开源网络服务器Apache和nginx，此次全部中招！

开源社区的本质允许IT人员来检查一个产品的源代码，改善或改变代码。 “心脏流血”带来的最重要的教训“这些漏洞都比较隐秘，如果只是看代码的话，是无法发现。这次是因为谷歌检测程序足够严格，发现了这个漏洞，但是对于任何依赖开源安全软件的网站来说，都应该进行反思为什么开源软件如何脆弱和不堪一击。

这次罪魁祸首OpenSSL软件是套开放源代码的SSL套件，其函式库是以C语言所写成，实作了基本的传输层资料加密功能。OpenSSL软件是以 Eric Young以及Tim Hudson两人所写的SSLeay为基础所发展的，但是SSLeay随着两人前往RSA公司任职而停止开发。1998年12月23日发布第一套 OpenSSL软件版本，此后大概两年更新一次版本。

目前这场安全风波给2/3的全球网站带来安全漏洞，教训已经很明显。但是尽管有2/3全球网站使用OpenSSL，这项开源的协议在过去的岁月中因 为缺乏足够的资金进行发展，一直进展缓慢。OpenSSL大约两年前就已经存在这一缺陷，但是因为缺少严格的测试而没有被发现。

当目前网站出现安全问题，由于不是付费的商业软件，网站根本找不到相关负责人，只能依靠自己的技术力量进行补漏，这不仅浪费时间而且不是每家网站都有这样的技术力量来补漏。

Red Hat 、SUSE等开源软件公司都已推出商业版本，2013年8月开源服务器软件Nginx也发行了其商业版本。此次令全球互联网公司手忙脚乱的安全事件发生后，不仅推动全球市场商业软件的普及，而且预计开源项目转推商业版本也将掀起新的高潮。

上世纪90年代末，全球应对“2000年虫”事件，软件界年份时间以两位数计，到2000时所有软件系统将自动清为00，而由此引发全球软件内核修补软件，带来数百亿的软件外包机会，推动中国印度软件外包的发展。

对比上次“2000年虫”事件，此次“心脏出血”漏洞影响更深远，将带来超千亿的市场机会！这对中国软件界也是重大机会。

机会二、微软宣布对XP停止服务，给中国安全软件企业及自主研发操作系统带来巨大商机。

互联网数据中心报告显示，XP在没有更新的情况下，其病毒感染几率是Win8的6倍。XP的停止服务意味着用户的电脑放弃构筑“防御工事”，而网络攻击者们却可以不断发现用户电脑的漏洞，研发更先进的“武器”，进行更有针对性的攻击。有企业IT管理人员担心最怕的是发生爆发冲击波、震荡波之类的蠕虫病毒。(责任编辑：韩杰)