开放源码的可信计算

对于开放源码软件(Open Source Software:OSS)的安全性问题,一直以来有两种观点。

一方观点是:正是由于其源代码开放,用户可以检查和确信软件中不会留有后门,所以开放源码软件的安全性高;而另一方观点则是:具有高超技术的 Hacker 可以查看源代码来寻找潜在的漏洞,从而可能在开发人员和用户都不知情的情况下,掌握系统的弱点,进而威胁系统的安全,并且大多数开放源码软件并没有给用户做出任何保证。

从目前国内外的情况来看,似乎是前者观点更流行,不过,SecurityFocus 的一篇文章则从另外一个方面对开放源码软件的安全性提出了质疑。

作者称,由于开放源码软件是由一些松散组织的开发人员(称为 Contributor)在一个源代码树(CVS、BitKeeper等)上进行开发和维护的,那么可能产生这样几个问题:

  • 有开发人员有意置入恶意代码,并且不被代码管理员发现而被接受(Accepted);
  • 开发人员的机器可能感染病毒或受到其它攻击,可能导致恶意代码进入源代码树;
  • 由于开发环境和编译环境没有严格的限制和要求,可能在编译环节被嵌入恶意代码;
  • 开放源码是基于 Internet 分发的,如果服务器被攻陷或着下载过程被监视,用户可能得到并不完全合法的目标程序

作者的观点最后似乎是:信任但要验证(Trust and Verify),和预科中的一样,文章的评论又是明显的两派观点,以反对方为多,他们举例说明开放源码是如何保证安全的,支持方很少,但观点也很中肯:目前开放源码软件的问题虽然可能不至于这么严重,但是对于我们来说,如何在人员、环境、设备等资源高度分散的情况组织软件的开发,源代码的管理,的确是一个需要关注的问题。

BTW:这些评论者虽然观点鲜明,但修养和素质还是不错,和新浪的新闻评论员们是明显的对比。

来源:SecurityFocus
来源:文章评论

“开放源码的可信计算”的4个回复

  1. 就像一大队建筑学家在北京买地建房子自己住或给朋友住,他们势必对建筑物仔细推敲;

    另一方面,开发商手下也有一大帮建筑学家,出于对公司的负责,他们也需要仔细推敲房子的问题。

    那么,谁看出的问题更多呢?

    结论:不见得。还是看两个团队组建的方式了。前者的专家是出于职业道德,后者的专家也不能说没有职业道德。

评论已关闭。