不公开即安全
本文仔细地研究了开源软件的开发与软件安全的联系。关于微软Windows与基于Linux的操作系统哪个更安全的讨论席卷了互联网。讨论涉及许多人的既得利益和偏袒的利益。由于了解不够以及逻辑错误引发的误解导致了讨论的混乱,使得讨论趋于白热化。出于广告宣传策略的需求希望能使赞助方获得更多的关注,派性论文使用整理过的统计数据泡制过于明显的权威及客观,实际上等于用偏见和可疑的事实来支持讨论。
这场缺乏确切结论的大讨论看似永无休止的部分原因就在于对安全的评估过多的集中于一个附带现象上:他们只研究安全性能的表面现象,而没有深入的分析安全特性的原因。部分原因也在于,对于大部分拥有产权的软件厂商来说,开源软件的开发是神秘的全新的。因此,这些非开源软件厂家无法了解开源世界对于安全问题在背后所做的努力。
还有一部分原因是许多卷入讨论的人们是只对软件安全有很肤浅的了解的最终用户。即使IT专家有时也不能了解软件安全在软件结构和开发过程中所做的努力,因为IT专家就算对 网络和系统安全配置拥有很深的了解,其技术中也往往比包括对开源软件开发和软件结构的实际了解。
如果想要填补公众知识库中关于软件安全带来的影响的空白,可能要写上厚厚的几大本材料。但是从这广泛的题目中选择有限的几个题目进行粗略的介绍还是可能的,这就是本文 的目的所在。
最后,Linux与Windows的安全大讨论成为了一场实例的竞赛。这些包含了更多更基础的关于安全所带来的种种利益与损害的例子分别服务于开源与闭源开发模式。这不仅仅是一个技术问题,同时还是一个社会事件,如果更仔细的研究这场讨论,则更象一个经济学家和游戏理论家的事件。到现在为止,在大部分讨论中两种开发方式中最容易遭到误解的是开 源研发方式。现在我们来看开源软件的开发如何考虑软件安全问题。
有些直指开源软件安全的争论完全基于错误的推论。许多流传广泛是听起来也颇有道理反对开源软件的的莫过于被我们称为“不公开即安全”的谬论。一个最常见的说法是:“当 它和微软程序一样流行时,你才会看到它有多安全”,另外一个则是“任何老练的安全黑客都能看到源代码,因此就不够安全”。
“不公开即安全”的谬论限制了对于基于Linux的操作系统和Mozilla Firefox 浏览器的相对安全性的讨论。实际情况是“不安全即公开”并不能真正保提供功能性的安全。它只能提供表面上看起来的安全,实际上,开源开发社区所仰仗的安全原则正好与次相反。这种原则也可称为“公开即安全”,它包括两个软件安全的基本原则:透明的安全以及普及带 来的安全。
网友评论