BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

开源软件的崛起会改善软件安全吗

| 作者 谢丽 关注 9 他的粉丝 发布于 2015年1月16日. 估计阅读时间: 3 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

2014年4月,OpenSSL Heartbleed漏洞的发现在互联网上引起了轩然大波,其影响范围之大甚至超过了上一年的Struts框架远程执行漏洞。紧接着,在6月份,Bash又曝出了ShellShock漏洞。该漏洞自1989年以来就潜伏在开源Bash项目中。可以说,在软件安全方面,2014年是非常糟糕的一年。Jim Zemlin是Linux基金会的执行董事。近日,他就软件安全及开源的相关问题接受了InfoWorld总编Eric Knorr的采访。

针对OpenSSL出现的安全漏洞,Zemlin承认,“经过社区审查的开源代码比闭源代码更安全”这个命题已经不成立了。OpenSSL项目一个很大的问题是只有两名独立顾问Dr. Stephen Henson和Steve Marquess维护。虽然有许多人会看到这些代码,但实际上没有多少人有那么多精力去审查代码,更不用说还需要具备极深的专业知识。因此,在Heartbleed漏洞曝出后,Zemlin迅速组织成立了“核心基础设施联盟(Core Infrastructure Initiative)”,并邀请了Amazon Web Services、Adobe、Cisco、Facebook、Google等数十家行业巨头加入。他们承诺每年提供10万美元的资金支持,至少持续三年。借助这笔资金,Zemlin为OpenSSL项目雇佣了两位全职工作人员,并且启动了Open Crypto Audit项目,对OpenSSL代码库进行安全审查。

与OpenSSL相关的组织因为Heartbleed这一灾难性漏洞联合了起来。与此不同的是,在过去几年中,一些影响力很大的开源项目在早期阶段就得到了行业巨头的支持,如Docker、Kubernetes。另外一些项目本身就是联合创立的,如OpenStack、OpenDaylight。Zemlin认为,在这种情况下,项目就不会因为资源匮乏而失去活力。不过,这也并不能保证产生完全安全的代码。因为让开发人员严肃对待安全问题一直就很困难,而这不仅仅是因为缺少兴趣,还因为严格的安全保护与可用性之间存在矛盾。

另外,Knorr提到,CoreOS推出Rocket向Docker发起挑战。他认为,CoreOS紧追Docker在安全方面做工作有望形成良性循环。包括微软在内的每一个行业巨头都已经看到了开源软件高速创新所带来的好处。他们的加入以及对基础开源技术开发的支持将有助于在总体上改善软件安全。


感谢郭蕾对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT