作為一個偏愛 ??在桌面電腦上使用 Linux??，并鼓勵使用開源軟件的人，你可能期待就標題中提出的問題得到一個響亮的肯定回答。

然而，我并不打算僅限于討論開源軟件的優(yōu)點。讓我們一起探索更多觀點！

在本文，我計劃分享我關(guān)于開源軟件是否安全的思考，以及哪些事情與開源軟件的安全性相關(guān)。

為什么你需要關(guān)注開源軟件是否安全？

不論你是使用 ??Linux?? 系統(tǒng)還是使用其他類型的操作系統(tǒng)，你都會在某種程度上（直接地/間接地）被開源軟件所包圍。

舉個例子，大多數(shù)專有軟件工具依賴于某種形式的開源庫來保證其正常工作。

此外，各種規(guī)模的公司（包括谷歌、微軟和 Facebook）依賴開源軟件或者以某種途徑向開源社區(qū)貢獻資源是有原因的。

因此，開源軟件的安全性是有必要了解的。

有關(guān)開源軟件安全性的迷思

雖然有多種理由證明開源軟件在安全性方面的缺陷，然而其中一些實際毫無意義。

任何人都可以查看并惡意利用開源軟件代碼

是的，開源軟件代碼對于任何人都是可訪問的。但是你可以查看代碼并不意味著你可以利用它。

不現(xiàn)實。

即使任何人都可以復刻（或者拷貝）該軟件，原始軟件也不能輕易地被修改使用。

通常，項目維護人員（或者維護團隊）管理代碼倉庫，并且接受來自貢獻者的提交。開源軟件代碼在接受之前會被審查。沒有人可以就這樣劫持代碼。

不論是開源軟件還是閉源軟件，攻擊者都需要付出努力來利用軟件中的代碼漏洞或者添加惡意代碼。

沒有專職團隊，安全性無從談起

很多人相信如果開源軟件沒有專職人員或者專職團隊，維護軟件安全性是困難的。

恰恰相反，由于各種各樣類型的貢獻者的加入與離開，開源軟件獲得了來自更大范圍的開發(fā)者的更多關(guān)注。

他們可能比由專有軟件所聘用的少數(shù)開發(fā)者更能夠發(fā)現(xiàn)安全問題。

一些來自 Mozilla 等同類公司的項目擁有自己的專職團隊來高效處理安全問題。同樣的，大部分成功的開源項目擁有大量的資源用于保障安全性。

因此，開源軟件的生態(tài)系統(tǒng)是安全性的組合包。即使沒有專職團隊，開源項目也可以得到來自各類貢獻者的幫助，他們中的一些很大程度上是有利可圖的，這有助于他們投入更多的精力。

開源軟件是安全的，以下是原因

既然我們已經(jīng)澄清了這些有關(guān)開源軟件安全性的迷思，讓我重點展示一下開源軟件是如何處理安全問題的。

換句話說，開源軟件在安全性上的優(yōu)勢。

請不要忘記，開源軟件的優(yōu)勢也是 ??Linux 比 Windows 更好?? 的一些原因。

更多的眼晴關(guān)注開源軟件代碼

不像專有軟件，（對開源軟件的）代碼訪問并不局限于少數(shù)幾個開發(fā)者。

一些開源項目甚至可能擁有數(shù)以萬記的開發(fā)者可以查看代碼、審查它們并標記和修復其中的安全性問題。

相比閉源軟件，這給予了開源項目擁有快速識別問題并盡快修復它們的能力的優(yōu)勢。

不僅僅限于擁有更多的開發(fā)者，企業(yè)通常也會參與他們所使用的開源項目。當他們這樣做的時候，他們也會查閱代碼并審查它們。

這提供了另一條外部審查的途徑，而這可能有助于提升開源軟件的安全性。

反之，就閉源軟件而言，數(shù)量有限的開發(fā)者可能并不能找出所有種類的安全問題。而且他們可能需要花費更長的時間來一一修復發(fā)現(xiàn)的問題。

社區(qū)決定安全問題的優(yōu)先級

閉源軟件的開發(fā)者可能在處理什么問題和什么時候解決問題等方面有某些限制或者優(yōu)先等級。

而如果是開源項目，貢獻者社區(qū)可以自行決定優(yōu)先級，并自行安排他們想解決的問題以及決定合適修復問題。你不需要依賴于供應(yīng)商的決定或者按照他們的指示來解決一個安全問題。

著手處理和修復安全問題的決策在開源軟件項目中更加透明和靈活。因此，它可以被證明是更有效的，并為你帶來以下三個益處：

• 透明度
• 不依賴供應(yīng)商
• 更快的安全更新

開源軟件不是防彈的，以下是原因

雖然在某些情況下，開源軟件可能在安全性上具有優(yōu)勢，然而仍有一些因素影響它。

承認這些問題的存在是很重要的，據(jù)此，企業(yè)或者個人可以就開源軟件的安全情況做出更好的決定。

并無足夠的眼睛來審查代碼和不確定性

即使開源軟件代碼可以被全世界的開發(fā)者自由訪問，項目沒有足夠的貢獻者/開發(fā)者徹底審查開源代碼的可能性仍然存在。

既如此，我們不能對開源軟件的同行審查抱有極高的信心，因為它恰好缺失了這一點。

開源軟件可能“聲稱”擁有最高的安全性因為它們是開源的。在沒有足夠的開發(fā)者致力于該項目時，這是一種誤導。

同樣，我們也無從得知有多少開發(fā)者在查看/檢查代碼，也不知道代碼的檢查進行到什么程度了。

舉例而言，??心臟出血漏洞??Heartbleed

軟件責任與問責

對于個人用戶這可能并不重要，但是開源項目通常并無任何保證。

因此，如果一家公司使用它，它們必須自行承擔任何由該軟件使用造成的數(shù)據(jù)丟失與損壞。

這告訴你，沒有什么是 100% 安全和沒有漏洞的。無論有多少眼睛聚焦在代碼上或者貢獻者的技術(shù)多么精湛，總會存在某種形式的風險，無論是安全風險還是數(shù)據(jù)丟失。

這告訴我們一個現(xiàn)實：開源軟件并非防彈的。

開源軟件有其更高安全性的優(yōu)勢，但是...

就安全性而言沒有什么優(yōu)勝者。不論是閉源還是開源，當涉及安全問題時都適用同一套原則。

有很多外部因素可以影響軟件安全性，而其中很多因素并不依賴于源代碼。

必須以某種形式監(jiān)控代碼，以保證安全。

是的，開源道路提供了閉源軟件所不具備的優(yōu)勢，但是這并不意味著開源軟件是防彈的。

你對開源軟件安全狀況有何思考？你又是否認為開源軟件比專有軟件解決方案更好呢？