Open Source 與危險性

最近筆者參加了一個廠商舉辦的產品發布會,重點推廣的是一個可判斷軟體是否有保安漏洞的工具。負責介紹產品的是一位資深的保安顧問,但言談之間卻多次將開源技術 Open Source 與危險性劃上等號,目的自然是為了顯示他們的產品何等安全,但概念上卻大錯特錯。

20121017open-source先解答一條小學程度的問題:「槍械危險嗎?」對一個對武器系統 (Weapon System) 沒有概念的人來說,槍械的確可能對他甚至他身邊的人構成危險。但對於一個身經百戰的士兵來說,槍械卻是他保命的關鍵,手上如果沒有槍械的話反而更加危險。

說到這裡大家都應該明白了,槍械本身只是一件工具,是否危險的關鍵,在於什麼人在什麼情形下使用它。開源技術也是一樣,技術本身是中性的,從來沒有危險與否之分。攻擊者可以用付費軟體進行入侵,也可以用免費或開源軟體來入侵,防守的一方亦是一樣。依照這樣的邏輯,付費和開源軟體的安全性其實差不多。如果因為有人使用開源軟體作為攻擊工具,就強行將「危險」的標籤加在 Open Source 身上,那麼我們和將投擲原子彈責任推在愛恩斯坦身上的人有何分別?

再說要架設 Web 服務,大部分人都會使用開源軟體。除了因為成本低之外,還因為它極高的可塑性,可以配合任何業務環境的需要。但這亦意味著技術人員需具備一定程度的保安知識,例如部分 Linux 版本在預設值下,會將名字和版本編號告知連線到伺服器的用戶,但此等資訊卻可能成為攻擊者找出漏洞的線索。如果因為用戶「學藝不精」就認定開源技術是「危險」的話,在美國我們大概要廢除醫療行業了,因為每年死在醫生手上的人比交通意外和槍擊還要多。

開源軟體是集合了全球開發者心血結晶的產品,他們沒有因此要求任何報酬。如果你認為它不安全,就應該積極參與去改良它,而不是消極地冷眼旁觀、然後提出一些似是而非的觀點恐嚇大眾再謀取暴利。「能力越強、責任越大」不但是電影的經典台詞,也應該是軟體產業友好的座右銘。

主筆
麥經倫
2012年10月

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *