Open Source 社群對開放源代碼軟件的安全性一向很有自信,源代碼公開任何人都可以散布、修改、回饋的特性,使得軟件中的任何漏洞一旦被發現,透過互聯網的傳播,在最短的時間內便能提出修正更新。SecurityFocus.com 的 CTO Elias Levy 認為這種想法過於理想,他指出了幾點值得不易發現的思考方向,關於 Open Source 可能的弱點。
在開放源代碼/自由軟件的理想世界中,任何人都可以自由取得程序的源代碼,因此任何人都可以檢視程序,問題發現得快,解決得也快。然而這種理論內的理想世界,在現實世界裡究竟有幾分可行性?這是值得大家深思的問題。Elias Levy 更提出了幾個現實上很可能發生的狀況,即使 Open Source 也可能有無用武之地的時刻: 源代碼即使可以取得,但要是沒有人真正去讀他? 即使真的有人在看,他所作的修改要怎麼確認無誤? 利用復雜、難懂的程序碼來隱藏漏洞,這並不難。 執行檔真的來自某份源代碼?難有強有力的保證。 開放源代碼讓有心人更容易找到漏洞。 作者表示以上幾點疑問,並不代表 Open Source 不比封閉源代碼好到哪裡去。事實上他認為 Open Source 有更大的潛力更為安全。關鍵的觀念在於:Open Source 不保證任何安全性。在 Open Source 社群裡有許多的“不保證”,往往反而是商機所在之處。
——摘自:LinuxFab
