開(kāi)源軟件一直被視為替代專有軟件的一個(gè)靈活、低成本和安全的方案：它獨(dú)立于平臺(tái)，由許多的成員開(kāi)發(fā)和維護(hù)，并提供價(jià)格合理的授權(quán)，甚至是可以完全免費(fèi)地使用。不同于Windows系統(tǒng)之類的專有軟件，開(kāi)源軟件不太容易出現(xiàn)類似美國(guó)國(guó)家安全局可以訪問(wèn)IT系統(tǒng)而不被發(fā)現(xiàn)的后門(mén)。類似的隱藏漏洞或者編程錯(cuò)誤，能夠通過(guò)檢測(cè)和雙人監(jiān)控原則迅速地被發(fā)現(xiàn)并加以補(bǔ)救。然而，近期OpenSSL加密軟件代碼中的Heartbleed漏洞并沒(méi)有被發(fā)現(xiàn)，這一漏洞雖然極其微小，但卻影響了全球約三分之二的服務(wù)器，對(duì)于互聯(lián)網(wǎng)的數(shù)據(jù)安全有災(zāi)難性的影響，同時(shí)也使全世界開(kāi)始質(zhì)疑開(kāi)源軟件的安全性。

不過(guò)，IT專家彼得·霍夫曼認(rèn)為，開(kāi)源軟件還是很安全的。并以他大約10年前在慕尼黑市議會(huì)介紹的Linux開(kāi)源操作系統(tǒng)LiMux為例，進(jìn)一步地進(jìn)行了說(shuō)明：“LiMux通過(guò)一個(gè)穩(wěn)定的團(tuán)隊(duì)開(kāi)發(fā)維護(hù)，除了定期發(fā)布補(bǔ)丁之外，在出現(xiàn)大問(wèn)題或者重要的更新時(shí)，我們還將與外部的服務(wù)提供商一起提供技術(shù)支持?！睂?duì)于OpenSSL出現(xiàn)的問(wèn)題，彼得·霍夫曼認(rèn)為OpenSSL的情況完全不同，OpenSSL的8名正式員工中，目前僅有3位全職員工，大部分員工都是志愿者，他們有自己的本職工作，參與OpenSSL的開(kāi)發(fā)只因認(rèn)同開(kāi)源文化或者純粹為了編程的樂(lè)趣。而OpenSSL項(xiàng)目的資金完全依靠捐款，一年獲得的資助僅有大約2 000美元。OpenSSL軟件基金會(huì)主席史蒂夫·馬克斯在他的博客中用“既不現(xiàn)實(shí)、也不恰當(dāng)”描述了OpenSSL目前的狀況，他呼吁企業(yè)和政府不要把使用OpenSSL作為理所當(dāng)然的事，應(yīng)該為OpenSSL做一些事。他的呼吁得到了積極的回應(yīng)，除了羅永浩直接向OpenSSL項(xiàng)目捐助100萬(wàn)元人民幣以外，Google、Facebook和Amazon也準(zhǔn)備捐助支持Linux基金會(huì)推動(dòng)開(kāi)源項(xiàng)目的新舉措。任何軟件，無(wú)論是開(kāi)源的還是專有的，只要是好項(xiàng)目都可以向該基金會(huì)融資。

信息

開(kāi)源項(xiàng)目的隱患

Firefox

2010年，Windows版本的Firefox瀏覽器出現(xiàn)了一個(gè)零日漏洞（急性和危險(xiǎn)的未修補(bǔ)安全漏洞），攻擊者可以完全控制系統(tǒng)。

Apache

2013年，數(shù)以萬(wàn)計(jì)采用Apache的Web服務(wù)器感染了Darkleech木馬，該木馬將在服務(wù)器頁(yè)面上嵌入惡意代碼，對(duì)瀏覽頁(yè)面的用戶進(jìn)行攻擊或轉(zhuǎn)向其他惡意站點(diǎn)。

MySQL

2012年，數(shù)據(jù)庫(kù)服務(wù)器軟件MySQL出現(xiàn)身份驗(yàn)證漏洞，導(dǎo)致互聯(lián)網(wǎng)犯罪分子盜取包括Flickr、YouTube、Google、Facebook和Twitter等許多服務(wù)商的用戶密碼和配置文件。

OpenID

2014年，第三方登錄協(xié)議服務(wù)供應(yīng)商O(píng)penID出現(xiàn)了一個(gè)安全漏洞，通過(guò)它黑客可以訪問(wèn)用戶的機(jī)密數(shù)據(jù)。Google、Facebook、微軟和PayPal等Web服務(wù)均受到影響。endprint