就在上周，OpenBSD 的创始人兼开发者 Theo de Raadt 发布了一封电子邮件，声称联邦调查局 (FBI) 付费给 OpenBSD 开发者，在其 IPSEC 网络安全堆栈中留下后门。此后，早期的审计发现了一些可疑代码，贡献者否认有任何不当行为，而原始消息来源重申了他的指控。

当原始帖子于 12 月 14 日发布到邮件列表后，记者试图联系指控中提及的那些人。ITWorld 的 FOSS 记者 Brian Proffitt 联系了原始邮件中提到的参与欺骗的两个人，并从两人处收到了否认。邮件中提到的另一个人 Jason Wright 回复了 de Raadt 的帖子，说：

每个都市传说都会因为包含真实姓名、日期和时间而变得更加真实。我在此明确声明，我没有在 OpenBSD 操作系统或 OpenBSD 加密框架 (OCF) 中添加后门。我在此期间接触的代码主要与支持该框架的设备驱动程序有关。我不相信我曾经接触过 isakmpd 或 photurisd（用户层密钥管理程序），而且我很少接触 ipsec 内部（cryptodev 和 cryptosoft，是的）。但是，我欢迎对我在 OpenBSD 树中所做的所有提交进行审计。我要求道歉。

de Raadt 信息的原始来源 Gregory Perry 建议审查“Jason Wright 和其他几位与他一起来自 NETSEC 的开发者”提交的所有代码。de Raadt 告诉 iTWire 的 Sam Varghese，“直到两天前，我才知道 Jason 和 Angelos (Keromytis) 过去都曾在一家从事该业务的公司工作。而且确实如此，哇，那家公司真的从事那项业务！现在他们（公司）属于 Verizon。”

Varghese 与 Perry 进行了交谈，Perry 为自己的说法辩护说：“我绝对、肯定地没有从对 Theo 发表这些声明中获得任何好处，这样做只是为了在我与 FBI 的 NDA 到期后，鼓励对 OpenBSD 项目进行源代码审计。成为任何关注的焦点根本不是我的目的。如果让我重新来过，我会给维基解密寄一张匿名明信片。”

遍历所有代码需要时间，但 de Raadt 说“我们加密代码中的两个错误”已经被发现。“我们正在评估影响。我们也在评估这方面的‘考古’方面，”他补充道。

没有提供关于这些错误的性质或重要性的进一步信息，但这些指控的范围对 OpenBSD 和一般的开源产生了深远的影响。OpenBSD 因其非常安全的声誉而被用于许多商业解决方案。如果发现如此重大的安全风险，它可能会破坏这种长期赢得的声誉，并质疑“众人之眼”的概念。de Raadt 说，众人之眼的概念非常真实，但开源工作关系很大程度上基于信任，并非每次提交都会被审查。在 OpenBSD 中发现的任何故意的安全漏洞的广泛影响很可能是开源项目内部更少的信任和更多的审查。

更新： 在进一步的进展中，de Raadt 昨天说，Angelos 在 NETSEC 接受合同时，在该加密堆栈上工作了四年。Angelos “编写了允许我们的 ipsec 堆栈将请求移交给 Jason 工作的驱动程序的加密层。该加密层包含了当时美国政府正在推动的半吊子不安全的半 IV 想法。在他的合同结束后不久，这就被删除了。”

de Raadt 进一步表示，“我相信 NETSEC 可能被委托编写后门，正如指控的那样。

如果这些后门被编写出来，我不相信它们进入了我们的代码树。它们可能作为他们自己的产品被部署。

如果存在这样的 NETSEC 项目，我不知道 Jason、Angelos 或其他人是否知道或参与了这样的 NETSEC 项目。”

因此，看起来最初的指控是，在 OpenBSD 网络代码上工作的开发者可能曾在后门上工作过，但没有证据，并且有机会将它们添加到 OpenBSD 中，但他们可能没有这样做。即使他们这样做了，也可能很久以前就被删除了。之前提到的错误并非后门代码。

代码审计和整体基本清理工作仍在继续。