【官方代號】“波西”計劃
【英文名稱】POSSE Project
【媒體稱呼】便攜式開源安全元素(Portable Open Source Security Elements,縮寫“POSSE”)
【密級】公開
【發起者】賓夕法尼亞大學
【運作進程】2001年-2003年4月4月18日
【目的】分佈式系統實驗室、“開放式伯克利軟件套件”項目和其他項目之間的合作項目
【背景】
“波西”計劃是一項由美國賓夕法尼亞大學分佈式系統實驗室指導的安全計劃,通過可組合的高保證可信系統計劃支付費用。計劃以“開放式伯克利軟件套件”(Berkeley Software Distribution)為重要合作基礎,本套件被選為“世界上最安全的開源計算軟件開發論壇”,為其開發撥款約100萬美元。
“波西”計劃的目標是提高一些開源項目的安全性,包括“阿帕奇”和“開放式安全套接層”(OpenSSL)。其核心層包括:
- “開放式伯克利軟件套件”項目的創始人和領導者、“波西”計劃負責人西奧·德·拉阿德;
- A.L.數字有限公司的技術總監、“阿帕奇”軟件基金會和“開放式安全套接層”小組的本·勞裡;
- 賓夕法尼亞大學計算機與信息科學教授首席調查員喬納森·M·史密斯博士;
- 賓夕法尼亞大學計算機和信息科學助理教授邁克爾·格林沃爾德;
- 以及哥倫比亞大學計算機科學助理教授安傑洛斯·柯羅米蒂斯;
- 阿帕奇軟件基金會的董事和“開放式安全套接層”小組的核心成員;
- 賓夕法尼亞大學眾多教職員工和研究生。
“波西”的經費來源計劃通過達帕(美國國防高級研究計劃局)的撥款,“用於將專用政府計算機中使用的高級安全功能引入標準辦公計算機。”——美國政府本來也希望從價格合理、標準化的計算機和軟件中提供更好的安全功能中獲益。
“波西”計劃首席調查員喬納森·史密斯教授最初以“可移植的開源安全增強”或“波西”的名義向達帕申請了這項資助。大約50萬美元的贈款流向了幾個英國研究人員對開放安全套接字層進行漏洞分析,“開放式安全套接層”是一種廣泛使用的加密通信程序,特別是對網站的加密。德拉特說,發現了一些缺陷。
之所以“波西”計劃的目光盯向了達帕,是因為德·拉阿德認為,達帕是美國國防部資助研發的分支機構,以資助後來成為互聯網的項目而聞名,它在2001年作為其可組合的“高保證可信系統”計劃(CHATS,Composable High-Assurance Trusted Systems projects)項目的一部分授予了這項撥款。因此本計劃獲得達帕支持幾乎是板上釘釘的事。
“開放式安全套接層”
【行動經過】
2001年10月2日,“波西”計劃開始實施,其標誌就是賓夕法尼亞大學的計算機科學家們獲得了一筆為期兩年的212.5萬美元的撥款,將政府專用計算機中使用的高級安全功能引入標準的辦公電腦中。達帕出手還真是沒的說。
喬納森·史密斯博士說:“國防部高級再研究項目局(達帕)提供的資金,代表著聯邦政府採購高度安全計算機的方式發生了變化。政府計算機被試圖闖入聯邦網站和機密文件的個人無休止地圍困,需要的安全機制和保證遠比一般設計用於普通公眾計算機的安全機制和保證嚴格得多。”
史密斯博士說:“在過去的幾十年裡,政府的做法是讓研究人員在主流計算機產業之外,專門為自己的用途開發高安全性的工作站。”問題是,這些專用計算機的發展通常進展緩慢,這些機器雖然確實安全,但在投入使用時在技術上已經過時。”
史密斯和賓夕法尼亞大學、軟件開發協會“開放式伯克利軟件套件”、“阿帕奇”軟件基金會和“開放式安全套接層”小組的同事提議,利用開源運動,程序員公開分享增量技術,試圖在主流計算機中設計更好的安全特性,不僅是為軍隊和其他高安全組織開發的。然後,政府通過購買更實惠、標準化、具有安全功能的計算機而受益。
史密斯博士說:“為消費者開發的計算機注重用戶友好性,而不是安全問題。用戶通常只關心出現故障時的安全性。”
通過“開放式伯克利軟件套件”這個計算世界上最安全的開源軟件開發論壇,“波西”團隊希望在開發過程中將更強大的安全特性集成到主流軟件中。全世界對軟件感興趣的人可以下載並檢查開源代碼並提出修改建議,這種協作方法可以更快地開發出更健壯的軟件。
通過審計傳統軟件開發過程中的安全弱點,史密斯的團隊將努力促進主流系統的開發,這些系統的安全性足以滿足政府的需求。該團隊將通過“開放式伯克利軟件套件”與開源軟件社區分享其安全性進展,“開放式伯克利軟件套件”的機器多年來已被證明是不可入侵的。該團隊將對“開放式安全套接層”進行審計,“開放式安全套接層”是“阿帕奇”web服務器中廣泛使用的電子商務安全軟件。“阿帕奇”軟件廣泛應用於web應用程序中。
史密斯博士說:“我們預計,我們的工作將對所有計算機制造商作出重大貢獻,而不僅僅是政府。”我們開發的源代碼將免費提供給所有人,沒有製造商希望在知道如何做得更好時提供不安全的系統。”
然而,雖然計劃進展順利,但達帕始終並未按照計劃要求將剩餘資金撥付。並且,2003年4月初,德·拉阿德在接受加拿大《環球郵報》採訪時談到美國對伊拉克的佔領( )時說:“我試圖說服自己,我們的撥款意味著一半的巡航導彈無法建造。”就是這句無足輕重的“弦外之音”,使計劃頃刻間發生顛覆性變化。
已經撥款約100萬美元為“開放式伯克利軟件套件”添加新的安全特性,“開放式伯克利軟件套件”是一個開源操作系統,許多人認為它是類Unix系統最安全的免費實現。德·拉阿德在一次安全會議上說,該項目在撥款的頭3個月內完成了大部分工作,最近一直在用這筆錢為軟件的更多安全增強提供資金。
4月17日,“波西”計劃負責人德·拉阿德說,他通過電子郵件獲悉,230萬美元贈款的剩餘部分已經收回。一位管理這筆撥款的教授發來的電子郵件沒有說明原因,但德拉阿德認為,取消撥款的原因是擔心資金流向太多外國開發商,以及德·拉阿德對記者發表的反戰聲明。
“他們決定不再想要(我們的項目)了,”德·拉阿德在收到通知後不到1個小時說就這樣。結束了。”
【後續】
“波西”計劃預計在4月18日發佈“開放式伯克利軟件套件”系統的3.3版本。他說,一份對達帕所扮演角色的確認書(將出現在盒子背面)將被貼紙覆蓋。
4月18日美國東部時間上午9:32,經過審計,達帕為開放源代碼操作系統“開源伯克利”(OpenBerkeley)軟件設計(就是指“開放式伯克利軟件套件”)的開發提供資金的撥款中,有一部分未使用,原因不明。
“波西”計劃負責人說,230萬美元撥款中未使用的部分已經撤回,因為人們擔心這筆資金主要用於資助外國研究人員。
2003年4月24日,”加拿大程序員李·珍妮弗說,美國在發表評論後削減了資金。
喬納森·史密斯說,美國軍方官員對此表示不與評論。達帕對“波西”計劃的資助隨後提前終止。
史密斯拒絕就這筆資金置評,理由是這個問題很敏感。給團隊項目的電子郵件?達帕的代表沒有回答。
本週早些時候,德·拉阿德說,他被告知達帕的官員對新聞報道中出現的聲明表示擔憂,這些聲明表明大部分的撥款都被注入了外國研究人員,這顯然是政府資助項目的不允許。此外,德·拉阿德認為,美國政府對他所作的表示反對的評論表示,在他的項目上所花的錢意味著正在建造的巡航導彈越來越少。
德拉特估計,大約85%的補助金已經花完了,剩下的部分將繼續進行6個月的項目。”我唯一拿到的錢就是工資。”
【關聯性】
“波西”計劃屬於技術研發行動,自身沒有子行動計劃,但與“高保證可信系統”計劃具有一定內在的延續關係,並且被動地與“自由伊拉克”行動結了個鬼緣。
【影響】
“波西”計劃被釜底抽薪後,隨著近60名“開放式伯克利軟件套件”黑客前往加拿大參加“黑客大會”——為期一週的編程會議——這個計劃現在發現因為自己大約少了3萬美元的經費,竟然無法容納與會者。
德·拉阿德說:“我們現在處於非常嚴重的困境……需要努力以某種方式保留我們的會議設施。”
【評論】
“波西”計劃是一個美國民主體制下失敗的案例,本來是一個純粹的科學研究項目,卻稀裡糊塗栽倒在政治正確的桎楛之下。
據推測,美國政府不同意德·拉阿德的評論,並導致決定取消撥款。不過,達帕發言人簡·沃克解釋說,這是由“最近的世界事件,特別是日益強大的民族國家構成的不斷演變的威脅”引發的。
德·拉阿德說:“在今天的美國,言論自由只是一個神話。
波西米亞風格
【代號說明】
“波西”,沒有具體含義,僅僅是縮寫英文的中文譯名而已。
西方對於行動計劃命名的這種玩法並不鮮見,是其冠名的重要方式之一。“歷史脈動”前期曾經發布過很多類似行動計劃,比如:
等等。對此感興趣的可以點擊鏈接移步閱讀。
如果感到本文有些意思,請勞動您寶貴的小手指,或關注、或評論、互收藏、或轉發,這將成為堅定“歷史脈動”為您地提供各類行動計劃不竭的強大動力。謝謝!
閱讀更多 歷史脈動 的文章
