近期，美國科技博客AppleInsider專文揭秘蘋果背后的故事，早在2011年，蘋果告訴開發者，它將棄用包括OpenSSL在內的OS X通用數據安全架構（以下簡稱“CDSA”）。近三年后，OpenSSL被發現存在重大安全漏洞，大量的服務提供商及其用戶遭受影響，而蘋果則安然無事。

1、Heartbleed

蘋果2011年6月宣布放棄使用OpenSSL的計劃時，它并不知道Heartbleed（“心臟流血”）漏洞的存在，因為當時它還未出現。然而，該公司知道OpenSSL（libcrypto）存在其它問題。蘋果是在逾10年前開始在CDSA內使用該安全工具包的。

蘋果在Mac OS X研發早期加入了對CDSA和OpenSSL的支持。2004年，該公司建議Mac開發者采用CDSA，稱CDSA“可通過減少與架構相連的、妨礙信息加密的庫的數量，來提升系統的整體性能”。

蘋果10年前在Mac安全文件中指出，“CDSA是Open Group組織采用的開源安全架構，充當技術標準。”蘋果自行開發了CDSA的開源版本，并將它發布到蘋果的開源網站上。該API提供一系列的安全服務，其中包括精細的訪問權限、用戶身份認證、加密和安全數據存儲。

2、自建安全架構

然而，至少到了2006年，蘋果開始著眼未來開發全新的信息加密API，旨在使用更少的代碼，加快運行速度，以及支持多個處理器的同時使用。這些特性不僅僅是后來的Mac所必需的，對于iOS系統也至關重要。

該公司開發精簡的現代安全架構的另一個原因是，它要符合聯邦信息處理標準（FIPS）才能夠向美國政府機關出售設備。隨著iPhone和后來的iPad銷量開始井噴，蘋果打造強勁的安全機構替換過時的CDSA變得更加迫切。

第一步是開發Common Crypto——支持核心加密算法的低能級C架構，蘋果先是在2007年將它應用于OS X 10.5 Leopard，后在2011年引至iOS 5。

3、棄用CDSA與OpenSSL

到2011年，蘋果做好了棄用CDSA的準備。它在全球開發者大會（WWDC）上向開發者指出，該機構基于Open Group標準，除了蘋果外鮮有公司支持，其功能很多都無人使用。這使得蘋果要處理大量復雜的外部問題，且得不到任何的跨平臺益處。

“CDSA有它的標準編程接口，它很復雜，不符合蘋果標準的編程慣例。”該公司在Mac安全文件中向開發者指出，“iOS從未納入CDSA，OS X和iOS均擁有自己的、遠沒有那么復雜的高等級安全API。”

開發自有安全軟件意味著蘋果和它的開發者將不再受到外部開發問題和OpenSSL開源項目相關問題的影響。盡管在業內占據重要地位，且被廣泛使用，OpenSSL要依靠捐贈來維持運營，而且它的團隊就只有4個核心開發者。

“雖然OpenSSL在開源社區中是常用軟件，”蘋果在其文件中稱，“它在版本之間并不能帶來穩定的API。因此，盡管OS X有提供OpenSSL庫，但不建議使用。OpenSSL從未引入iOS系統。我們強烈反對應用使用OS X OpenSSL庫。”

“如果你的應用依賴于OpenSSL，你應當自行編制OpenSSL，靜態地將已知OpenSSL版本連接你的應用。在OS X和iOS上使用OpenSSL都是可行的。但除非你是想要維持對現有開源項目的源碼兼容性，否則你還是應該使用另外的API。”

蘋果擔憂OpenSSL缺乏穩定API的原因是，它在給該開源軟件包更新或者填補安全漏洞的時候會遇到麻煩，會影響到連接舊版OpenSSL的第三方應用。而棄用OpenSSL轉用自有軟件意味著蘋果在管理自家平臺時擁有更大的控制權。

蘋果OS X軟件的各種漏洞實際上與蘋果捆綁的外部軟件有關，包括開源軟件包和諸如Adobe Flash的第三方商業部件。

4、當OpenSSL遇到Heartbleed

蘋果棄用OpenSSL的時機頗為幸運。就在蘋果正式棄用OpenSSL半年后，Heartbleed漏洞不小心被引入OpenSSL，具體是通過旨在維持安全連接的Heartbeat特性進入。存在漏洞的Heartbeat特性嵌入了2012年3月推出的OpenSSL版本，默認開啟。

正當蘋果在該漏洞被引入之前積極建議Mac和iOS的開發者使用其它的安全軟件，行業的其它成員則一直在采用免費提供的最新OpenSSL版本。

兩年多以后，谷歌的一個研究人員發現，OpenSSL Heartbeat功能存在漏洞，可能會導致個人信息泄露。受Heartbleed影響的客戶端軟件也存在被惡意服務器控制的風險。

美國《國家期刊》報道稱，在4月1日將該漏洞公諸于眾之前，谷歌在內部秘密解決該問題，沒有通知包括美國政府在內的任何人。

《悉尼先驅晨報》指出，在接下來的一周，各家公司在是否公布Heartbleed漏洞上展開了一番爭斗，安全公司們希望借此良機擴大自己的知名度，而那些受影響的公司則徹夜趕工解決漏洞問題，避免遭到知悉的第三方的攻擊。

5、蘋果自家代碼的漏洞

蘋果及它的Mac和iOS用戶并未受到Heartbleed影響。不過就在幾周前，該公司自家的代碼存在類似的安全漏洞。該漏洞也與SSL安全證書相關，名為“GoToFail”。蘋果的代碼與OpenSSL一樣都是開源，但這并不能防止漏洞的出現。

由于先給iOS打補丁（在GoToFail公諸于眾之前），隔了3天才給OS X發放補丁，蘋果遭到了大量的譴責。

相比之下，在Heartbleed事件中，各方花費了一個星期才協調好漏洞的公布問題。包括Facebook在內的一些公司在Heartbleed公開之前獲得了爆料，因而能夠及時修復問題，而包括思科、Dropbox、Juniper、Twitter、Ubuntu、雅虎在內的知名公司則跟公眾一樣幾天后才知悉。

Android智能手機的WebView 16個月前也被發現存在類似的網絡安全漏洞。該漏洞要嚴重得多，能夠讓黑客遠程控制用戶的設備，所涉的功能工具也讓幾乎每一個人都能夠發動攻擊。