Open Source 社群对开放源代码软件的安全性一向很有自信,源代码公开任何人都可以散布、修改、回馈的特性,使得软件中的任何漏洞一旦被发现,透过互联网的传播,在最短的时间内便能提出修正更新。SecurityFocus.com 的 CTO Elias Levy 认为这种想法过于理想,他指出了几点值得不易发现的思考方向,关于 Open Source 可能的弱点。
在开放源代码/自由软件的理想世界中,任何人都可以自由取得程序的源代码,因此任何人都可以检视程序,问题发现得快,解决得也快。然而这种理论内的理想世界,在现实世界里究竟有几分可行性?这是值得大家深思的问题。Elias Levy 更提出了几个现实上很可能发生的状况,即使 Open Source 也可能有无用武之地的时刻: 源代码即使可以取得,但要是没有人真正去读他? 即使真的有人在看,他所作的修改要怎么确认无误? 利用复杂、难懂的程序码来隐藏漏洞,这并不难。 执行档真的来自某份源代码?难有强有力的保证。 开放源代码让有心人更容易找到漏洞。 作者表示以上几点疑问,并不代表 Open Source 不比封闭源代码好到哪里去。事实上他认为 Open Source 有更大的潜力更为安全。关键的观念在于:Open Source 不保证任何安全性。在 Open Source 社群里有许多的“不保证”,往往反而是商机所在之处。
——摘自:LinuxFab