開源軟件的崛起會改善軟件安全嗎

原文  http://www.infoq.com/cn/news/2015/01/open-source-software-safe

2014年4月， OpenSSL Heartbleed漏洞 的發現在互聯網上引起了軒然大波，其影響范圍之大甚至超過了上一年的Struts框架遠程執行漏洞。緊接著，在6月份，Bash又曝出了 ShellShock漏洞。該漏洞自1989年以來就潛伏在開源Bash項目中。可以說，在軟件安全方面，2014年是非常糟糕的一年。Jim Zemlin是Linux基金會的執行董事。近日，他就軟件安全及開源的相關問題接受了InfoWorld總編 Eric Knorr 的采訪。

針對OpenSSL出現的安全漏洞，Zemlin承認，“經過社區審查的開源代碼比閉源代碼更安全”這個命題已經不成立了。OpenSSL項目一個很大的 問題是只有兩名獨立顧問Dr. Stephen Henson和Steve Marquess維護。雖然有許多人會看到這些代碼，但實際上沒有多少人有那么多精力去審查代碼，更不用說還需要具備極深的專業知識。因此，在 Heartbleed漏洞曝出后，Zemlin迅速組織成立了“核心基礎設施聯盟（Core Infrastructure Initiative）”,并邀請了Amazon Web Services、Adobe、Cisco、非死book、Google等數十家行業巨頭加入。他們承諾每年提供10萬美元的資金支持，至少持續三 年。借助這筆資金，Zemlin為OpenSSL項目雇傭了兩位全職工作人員，并且啟動了 Open Crypto Audit項目 ，對OpenSSL代碼庫進行安全審查。

與OpenSSL相關的組織因為Heartbleed這一災難性漏洞聯合了起來。與此不同的是，在過去幾年中，一些影響力很大的開源項目在早期 階段就得到了行業巨頭的支持，如Docker、Kubernetes。另外一些項目本身就是聯合創立的，如OpenStack、 OpenDaylight。Zemlin認為，在這種情況下，項目就不會因為資源匱乏而失去活力。不過，這也并不能保證產生完全安全的代碼。因為讓開發人 員嚴肅對待安全問題一直就很困難，而這不僅僅是因為缺少興趣，還因為嚴格的安全保護與可用性之間存在矛盾。

另外，Knorr提到， CoreOS推出Rocket向Docker發起挑戰 。他認為，CoreOS緊追Docker在安全方面做工作有望形成良性循環。 包括微軟 在內的每一個行業巨頭都已經看到了開源軟件高速創新所帶來的好處。他們的加入以及對基礎開源技術開發的支持將有助于在總體上改善軟件安全。