陆首群:开源软件比私有软件产品更安全

  人们问:开源软件安全吗?特别在国防、政府等要害部门应用时,以及在金融、电信行业等具有“关键任务(Mission Critical)”高端应用时,人们关注开源软件的安全性问题。

  近日,友人给我一份美国开源人士为奥巴马政府起草的“白皮书”,对开源软件的安全性问题作了概述,很有意思,谨摘引如下与大家分享:

  (开源促进会OSI主席Michael Tiemann也指出:开放标准、开源理念、开源解决方案将成为各国政府在实施几乎所有政务上的潜在优势)

  “在过去十年里,开源软件在美国军队和情报部门得到广泛应用,这主要取决于它的安全优势”

  “最近美国国家安全局(NSA)证实:发现开放源代码在网络安全方面优于私有代码”

  “有证据显示,从操作系统到中间件,到数据库,到浏览器以及Java等,比之私有软件产品,开源软件产品在其生命周期里面临更少的安全问题”

  “白皮书”阐述:“开源软件的源代码是公开的,公众可以揭开代码的信息,可以保证在代码中没有隐藏的或没有可能挖掘的秘密,而私有软件却不能保证这一点。”

  “白皮书”引用美国国家漏洞数据库(NVD,National Vulnerability Database)统计数据显示:“开源软件产品比私有软件产品漏洞要少得多”。(有人可能会说,目前开源软件比某些私有软件应用的数量少,所以遭受黑客攻击的概率较小或发现的“漏洞”也较少,我赞成这种说法,有一定道理,但我认为,正如白皮书所说:“开源软件的源代码是公开的,公众可以揭开代码的信息 ”,“全球有数百万个开发者都在做开源项目”,他们不断对开源软件产品进行“检错、纠错,打补丁、修正(Bug Fix,Patch)”,这种做法是导致开源软件产品“漏洞”要少得多的主要原因)。

  “白皮书”阐述:“开源软件产品的开放性意味着安全秘密不在代码中,它必须在代码外进行管理”。

  (我认为,这条保障或提升安全的措施,可解除人们对具有公开性的开源软件不安全的担心;同时也表明,本条措施,开源软件可做,私有软件也可做,因此光凭本条,不能比较两种不同类型的软件的安全性谁高谁低;但综合上述三条,完全可以认为开源软件更安全)。

  我曾介绍今年5月12日《华盛顿时报》刊登的一篇署名文章《中国阻止美国发动网络战争》,文中谈到我国开发的开源的麒麟(Kylin)操作系统,从2007年开始在国防网络上服役以来,阻止了以往有人通过网络脆弱环节(即“后门”)进行信息渗透,保障了网络的安全。

您可能还会对下面的文章感兴趣: