OpenSSL is not developed by a responsible team

果然小丑出来哗众取宠了

OK，按照楼主的说法

“OpenSSL is not developed by a responsible team”
“Donate to LibreSSL”

这里隐藏了一个前提，就是说 “LibreSSL IS developed by a responsible team”

那么问题来了，如果 LibreSSL 爆了漏洞，我因此遭受了损失，LibreSSL team 会 take responsibility 么？

Heartbleed 被爆之后，OpenSSL 基金会的主席在博客里把出bug的原因归咎于 OpenSSL 得到的捐助很少

ref: http://veridicalsystems.com/blog/of-money-responsibility-and-pride/

那么 OpenSSL 基金会 是不是真的穷呢

OpenSSL 基金会和自由软件基金会， Apache基金会不同， 是一家营利性的IT 咨询公司。盈利状况还不错：
The OpenSSL foundation appears to be a million dollar a year for-profit company doing FIPS consulting gigs. (Incorporated in Maryland)

既然是每年盈利百万美元的商业公司， 虽然不敢苛求它把大部分的盈利投给 OpenSSL 项目， 但即使只拿出一小部分，也会和官方宣传里强调每年 2000 美元的捐助有巨大落差。

Btw
OpenSSL 基金会官网首页上的介绍是这样的：
The OpenSSL Software Foundation (OSF) is a corporate entity representing the OpenSSL project for the purpose of providing financial support in the form of support contracts, consulting services, and donations.

Ref:
http://www.openbsd.org/papers/bsdcan14-libressl/mgp00008.txt
http://blather.michaelwlucas.com/archives/2071?


附带一句， 在 Heartbleed 前，OpenSSL 团队并没有向外界透露过其缺钱或是缺人。

@glasslion 好久没见到把「盈利」和「营利」用对的人了，赞一个。

楼主顶在风口浪尖说实话不安全，要知道大多数人是很容易被煽动的。
至于 OpenSSL 怎么赚钱就不说了。如果你真的用 OpenSSL 写过代码，你一定*不愿意给他们捐钱。

但是不管怎么说，现在半数以上的服务器在使用 OpenSSL 。个人能力有限，赞助一点表达心意而已。毕竟用了这么久他们开发的东西。

当时 LibreSSL 项目成立的时候记得还有不少人把它当笑话看，现在不知道如何了。

.... 以及楼上别说那么恐怖啊

借用《武媚娘传奇》 的一句话：“这人哪，总是善于夸大自己的善意跟仇恨，却羞愧与自己的欲望。”

@phoenixlzx 写过觉得 API 设计很烂是真的 ... 不过我本来也没有想给他们捐钱 233

@aveline @phoenixlzx 同8楼，我还以为所有加密码学函数库都一样难用呢。

@aveline 听起来像嘲笑windows 3.1 设计的难看一样

前面刚看到老罗捐100W给OpenSSL的帖子，里面有这么好像有这么一段，摘自

http://m.jiemian.com/article/231843.html

史蒂夫马奎斯能理解这些批评：互联网上那么多人，总会有某人因为某事而感到不满。可他很想对他们说：“抱歉，我们搞砸了。要不，退你们钱好了。”他接着想了想，“啊哦，你们压根没付过钱呀。”

......

@missdeer @aveline @zhicheng
同感, openssl 的 api 设计的非常烂, 不那么出名的 Crypto++ 和 Bouncy Castle 系列就完全不在一个档次上.

@freegink 这个道理是说不通的, 那么多年没有进步是不对的, 就好像 2015 年大家还在用 windows 3.1 一样.

@semicircle21 其实更应该说其他的没有进步。否则也不会到2015年了，三分之二的web server还在用openssl。