開源軟件的崛起會改善軟件安全嗎

　　2014年4月，OpenSSL Heartbleed漏洞的發如今互聯網上引發了軒然大波，其影響範圍之大甚至超過了上一年的Struts框架遠程執行漏洞。緊接着，在6月份，Bash又曝出了 ShellShock漏洞。該漏洞自1989年以來就潛伏在開源Bash項目中。能夠說，在軟件安全方面，2014年是很是糟糕的一年。Jim Zemlin是Linux基金會的執行董事。近日，他就軟件安全及開源的相關問題接受了InfoWorld總編Eric Knorr的採訪。

　　針對OpenSSL出現的安全漏洞，Zemlin認可，「通過社區審查的開源代碼比閉源代碼更安全」這個命題已經不成立了。OpenSSL項目一個很大的問題是隻有兩名獨立顧問Dr. Stephen Henson和Steve Marquess維護。雖然有許多人會看到這些代碼，但實際上沒有多少人有那麼多精力去審查代碼，更不用說還須要具有極深的專業知識。所以，在 Heartbleed漏洞曝出後，Zemlin迅速組織成立了「核心基礎設施聯盟（Core Infrastructure Initiative）」，並邀請了Amazon Web Services、Adobe、Cisco、Facebook、Google等數十家行業巨頭加入。他們承諾每一年提供10萬美圓的資金支持，至少持續三年。藉助這筆資金，Zemlin爲OpenSSL項目僱傭了兩位全職工做人員，而且啓動了Open Crypto Audit項目，對OpenSSL代碼庫進行安全審查。

　　與OpenSSL相關的組織由於Heartbleed這一災難性漏洞聯合了起來。與此不一樣的是，在過去幾年中，一些影響力很大的開源項目在早期階段就獲得了行業巨頭的支持，如Docker、Kubernetes。另一些項目自己就是聯合創立的，如OpenStack、 OpenDaylight。Zemlin認爲，在這種狀況下，武漢仁濟中西醫結合醫院項目就不會由於資源匱乏而失去活力。不過，這也並不能保證產生徹底安全的代碼。由於讓開發人員嚴肅對待安全問題一直就很困難，而這不單單是由於缺乏興趣，還由於嚴格的安全保護與可用性之間存在矛盾。

　　另外，Knorr提到，CoreOS推出Rocket向Docker發起挑戰。他認爲，CoreOS緊追Docker在安全方面作工做有望造成良性循環。包括微軟在內的每個行業巨頭都已經看到了開源軟件高速創新所帶來的好處。他們的加入以及對基礎開源技術開發的支持將有助於在整體上改善軟件安全。http://h.foyuan.net/blog-266277-329494.html