開源如何提高軟件的安全性

坦率地說:您的代碼充滿了安全漏洞。同樣糟糕的是，你的員工在密碼和其他侵入你數(shù)據(jù)的方法上也很粗心。

因此，盡管我們可能會對塔吉特(Target)、摩根士丹利(Morgan Stanley)或其他數(shù)十起安全漏洞束手無策，但事實是，你的公司尚未被攻破的唯一原因，就是黑客懶得去嘗試。然而。

再多的生物識別技術(shù)也無法修復(fù)這些缺陷。沒有專斷的工程方法。沒有什么可以修復(fù)等待發(fā)生的軟件安全漏洞，這就是您的代碼庫。

也許，除了開源?；蛘?，更確切地說，是一種開源方法。

從來沒有編寫過完全安全的軟件。無論如何，不是任何人實際使用的那種。

因此，當(dāng)Pushd的工程師本·切里(Ben Cherry)說所有軟件都有缺陷時，我點頭表示同意:

可怕嗎?是的。但是標(biāo)準(zhǔn)的操作程序呢?也沒錯。

多年來，開源世界一直標(biāo)榜自己是解決軟件漏洞的答案。按照這種思路，必須公開源代碼的開發(fā)人員——就像把內(nèi)衣穿在其他衣服上一樣——往往會編寫出更好的代碼。

這是一個很好的，直觀的想法。就目前而言，這是對的。

畢竟，多年來的研究表明，平均而言，開源軟件項目的缺陷要比其專有項目少得多。但是“少”并不等于“沒有”。

“沒有漏洞”也不是重點。

“沒有漏洞”不僅是一個不可能實現(xiàn)的目標(biāo)，而且也沒有必要。如前所述，開源給安全性帶來的價值與初始代碼質(zhì)量關(guān)系不大，而與最終的解決方案處理關(guān)系很大。

考慮到所有軟件都存在安全漏洞，最好的軟件應(yīng)該是那些能夠讓感興趣的、有能力的開發(fā)人員組成的社區(qū)來修復(fù)它的軟件。

有時這種修復(fù)會在漏洞被利用之前出現(xiàn)，但通常不會。很少有開發(fā)人員有時間或方法在發(fā)現(xiàn)這些bug之前發(fā)現(xiàn)其他人代碼中的缺陷。

不，唯一能找到這些漏洞的是那些寄生黑客，他們想把你的爛代碼變成爛錢。是的，你可能會做各種各樣的測試來首先找到缺陷，但是你會失敗。只是洞太多了。總是這樣。

與其假設(shè)原始代碼，不如假設(shè)有缺陷。有了這樣的假設(shè)，當(dāng)您可以調(diào)用騎兵時，幾乎總是更容易解決問題。

因此，雖然您可能有業(yè)務(wù)或其他原因來隱藏您的代碼，但安全性不應(yīng)該是其中之一。“通過隱藏實現(xiàn)安全”的方法從來沒有起過作用，也永遠不會起作用。