安全漏洞對任何許可模式下的復雜程序都有影響,開源和商業軟件都不具備天然優越性。
當今軟件產業很少有話題像開源和商業軟件孰優孰劣這個問題那樣,引發如此激烈的爭論。當辯論作為娛樂並為人們所知曉之後,就會導致某些長期存在的誤區。為幫助決策者洞悉事實,本文將對爭論中的主要方面—軟件的安全性進行剖析,從而撥開迷霧見真相。
誤區之一:開源意味著更加安全
有人認為如果一個計算機程序不公開披露源代碼,理論上講就不會很安全;如果產品的源代碼被公開,那麼從理論上講就會更安全。事實果真如此嗎?
軟件良好的安全性,並不取決於源代碼是否已知或公開,而是取決於如何設計、實施和管理這個源代碼。具體來講,安全性有賴於是否有合格的人員檢查和測試了安全機制,並已將可能被不法分子利用的漏洞數量減到最少。
雖然有的源代碼是可以公開讀取的,但事實上,只有極少數訓練有素的代碼檢查人員或編寫人員能夠識別安全漏洞。畢竟,好的程序員不一定是好的安全專家。
因此,盡管開源軟件的源代碼是公開的,但是有一些漏洞甚至存在多年也沒有被發現。
誤區之二:開源修補漏洞速度更快
發現病毒和修補安全漏洞的速度,是兩種軟件開發模式的擁趸們爭論的另一焦點。有人認為開源軟件開發者對漏洞或病毒的反應比商業軟件供應商更迅速。然而對產品安全性的比較研究表明,兩種軟件模式解決漏洞問題的速度沒有多大差別。“補得快就是補得好”這種想法也不一定正確。
對有些顧客而言,軟件更新和打補丁應當在不同的環境和配置中進行全面的安全測試後再使用,以免引起其他穩定性問題。而有些客戶更看重軟件供應商是否能對其提供的軟件更新和補丁的質量負責。這些顧客不希望只有第三方來提供軟件更新或補丁策略,因為沒有任何第三方願意對所做的修補或修補後產生的問題負最終責任。
現實:實施安全性與開發模式無關
多年以來,許多軟件開發商一直習慣於為實現軟件的可擴展性、可用性、可管理性和可服務性而設定代碼。近年頻繁出現日益復雜的非法攻擊,迫使開發者不得不更加重視安全因素,並編寫出更加安全的代碼。
軟件產品是否安全的症結,不在於開發用的是哪種模式—商業或者開源—而是在開發的每個階段是否實施了安全策略,還是只在事後才突然想起?今天我們可以看到,無論是在開源還是商業模式許可下開發的軟件,都考慮到了安全問題。軟件開發者正在使用預先評估、嚴格有序的測試、以及發布後評估漏洞和提供更新的回應中心等各種方法來減少漏洞。
當安全特性的設計成為重要因素後,整個安全性更加依賴軟件的配置、設置、更新和維護,包括是否通過適當手段更新、發現並解決了產品漏洞等。許多安全問題之所以產生,恰恰是因為沒有正確的系統和軟件配置,沒有及時應用安全更新、補丁和修補。
用戶應該確保計算環境的正確配置和維護。配置錯誤或系統維護不好所引起的安全問題和隱患,遠比已知漏洞所導致的惡意攻擊更為常見。
結論:沒有一種開發模式天生具有優越性
綜上所述,認為開源或商業軟件在安全性上更具有優越性的想法是錯誤的。安全漏洞對所有復雜程序都有影響,而不是在開源或商業模式下開發的軟件中更普遍或相對較少。
相反,軟件安全性的三個主要決定因素是開發者的素質、開發團隊為減少漏洞使用的技術和工具,以及顧客和軟件供應商在解決問題時的關系密切程度。這些因素都不依賴或取決於軟件的許可或發行方式。
好代碼終究是好代碼,無論開源與否。因此,我們評價一種軟件開發模式的影響,更多是看軟件的普及程度,而非軟件的設計或開發方法。
作者簡介:
吳少雄,現任商業軟件聯盟(BSA)亞洲區軟件政策事務總監。曾任新加坡資訊通信發展管理局(IDA)資訊通信發展政策部副總監,新加坡國家電腦局(NCB)首席執行官和主席特別助理,是《電子交易法條例與安全方針》和《計算機濫用法(修訂版)》的主要起草人之一。
原文鏈接:http://tech.sina.com.cn/it/2006-09-15/17131142143.shtml
