开源软件安全性如何

普及带来的安全
微软公司的Windows桌面操作系统和IE的普及性常被用来解释缺陷发生率以及破坏发生率。这里我要告诉你们一些真相。对于源代码封闭，具有产权的操作系统或者网络浏览器来说 ，更高的普及率无疑可能招惹恶意代码编写者和其他不速之客的注意。但是如果采用全新的以普及性为关键的开发方式，情况就会有所改观。

开源软件采纳特定软件片段的门槛很低。由于开源软件完全不受价格的影响，在我们不断发展的网络状的世界里，一个新的操作系统安装文件的成本可能不会超过一张空白CDR，只 需花费几分钟进行下载。安装方式不同，甚至购买CD的钱也可以省去。

开源软件很容易被广泛接受的特性使得它更容易吸引新的开发者加入某个开源软件项目。随着用户数量的增加，编程人员对项目的兴趣也会增加。来自开源软件的开发者汇成了用 户群，另外开源软件很好的利用了编程人员的业务时间，他们没有时间全力投入某个严肃的开发团队，但是可以利用业务时间搜索和修改各个缺陷和bug。

结果，这些查找最受欢迎的开源软件缺陷和bug的人数远远大于闭源软件有限的开发队伍。这一数字随着用户数量的增加而相应增加。查找新的缺陷以进行利用的人数被查找新的缺 陷以进行修正的人数所超越。即使找到缺陷的人自己不写代码进行修复，他们也会告诉会进行修复的人。

这一事态的结果显而易见，有据可查的微软对缺陷所做的最快反应，是今年早些时候的WMF库的补丁，按照微软安全响应中心总监Debby Fry Wilson的说法，用了大约9-10天。同时 ， Mozilla基金会每次按期生产、测试和发布Mozilla Firefox网络浏览器的补丁的间隔不超过一星期，对于Linux内核的修补时间甚至不用天，而是用小时计算。

这主要归功于补丁测试广泛的群众基础：Debby Fry Wilson在讨论WMF补丁的快速发布时说，测试而非补丁的开发占用了很长一段时间。我们在闭源软件没有广泛测试能力的情况下 期望它能够跟上形势，以及在测试出现问题是经常收到来自测试者本身的传真是不合理的。开源开发社区拥有数千名测试者，而闭源软件只有几十位。

产权软件缺乏吸引力
产权软件厂商，如微软公司，也开始着手调查在工作过程中加入一些社会力量的可能性，希望这样可以增强他们的软件的安全性。他们发现碰了一些障碍，而且目前来看是无法克 服的。即使采用最大方的类似方法，如使公众能够看到源代码，或者为公众提供新版本和新补丁进行公开测试也无法达到开源软件所享受到的透明度。

原因很简单：用户群没有对软件本身进行相同的投入，软件是“别人的软件”，他们无法获得将来能从厂家获得回报的承诺。在软件开发和改进过程中投入的时间和精力完全归厂 家所有，因此极大的打击了积极性。

可见与隐藏的较量
开源开发社区所仰仗的软件安全哲学与闭源产权软件开发模式所使用的截然不同。隐藏源代码能够配合产权软件厂商将缺陷保守一定时间，以使编程人员有足够的时间开发补丁， 这样通过创立安全的形象保持了市场份额，可是这样经常导致在某个时间段中某个缺陷横行，而用户对他们所处危险状况一无所知。开源软件开发因透明而获得好处，而不是粉饰 可能发生的安全损失，直到有了补丁以后才为用户提供保护自己的武器。这些好处是产权软件无法完全获得的。

尽管可见与隐藏并不是软件安全的唯一决定性安全特征，但它对于研究开源软件的开发哲学，以及分析两种截然不同的软件开发方法的安全特征具有重要作用。

（责任编辑:张竺）

查看本文的国际来源