好几个月以前的事了，就是Debian Linux发行版中OpenSSL这个很重要的包被Debian开发者修改，从而降低加密可靠度的问题。Slashdot上有很多讨论，主贴就质疑Debian，这是很不科学的。

这个事情，其实告诉我们Debian的开发者，也就是俗称的DD们，真的要看他们维护的代码；这个事情还是挺出乎我的意料的，毕竟DD们也并不总是开发者，更不总是特别牛的人，维护某个包不一定就很熟悉那一门的专业知识。这些东西不在DD的要求里面（基本的编程知识是要求的）。

事情就是某位DD看了这个代码（起因也可能是某工具报警），发现一个没有初始化的变量就直接使用了，然后他安全起见，就把这个变量初始化一下，给了个Null。没想到这个没有初始化的东西是原作者用来当作随机数的一部分的，随机数是用来加密的，这样一来，这个随机就没了，只剩下当前进程的ID号作为随机数，而Linux上ID号是个整数，2^15那么大，所以就不够大，更不够随机，总是存在猜测出来的可能性了。这就是那个Bug的问题所在。

好像这个问题在2年多的时间里也没有造成什么问题，这当然是侥幸了。但是，虽然有许多其他意见，比如认为DD太傻，老改人家代码之类，我还是认为这个发行版的人们很靠谱，很认真。Debian走到今天，不是没有原因的。