开放源码软件的安全性隐患

开放[url=http://www.pccode.net].net" class="wordstyle"源码意味着一扇打开的门吗？

Natalie Walker Whitlock (Natalie@Casaflora.cc)

Casaflora Communications

Natalie Whitlock 讨论了封闭式安全性系统的不适宜性和开放[url=http://www.pccode.net].net" class="wordstyle"源码解决方案。她论述了 Eric Raymond 的观点、Microsoft 的 FrontPage 中著名的“后门”、同级评审的概念以及开放[url=http://www.pccode.net].net" class="wordstyle"源码所处的两难境地：没有人能担保将检查所有的一切。然后，她从理论到实际剖析了这个观点，并与重要的 IT 执行官谈论了有关安全开放[url=http://www.pccode.net].net" class="wordstyle"源码系统的可行性和普及性。

对某些情况来说，封闭[url=http://www.pccode.net].net" class="wordstyle"源码意味着隐藏、保密，因而更安全。但实际上，当今使用的很多最安全的系统都基于开放[url=http://www.pccode.net].net" class="wordstyle"源码的模型。

传统上，保密就意味着安全。您会锁上自己的屋子、汽车和所有贵重物品。在软件社区中，您“锁上”编程源代码作为保护它免受黑客和竞争者侵袭的一种手段。封闭[url=http://www.pccode.net].net" class="wordstyle"源码阵营认为，当系统[url=http://www.pccode.net].net" class="wordstyle"源码对所有人开放时，它就不会是真正安全的。保密就是安全，当它应用在其它安全系统时，隐藏[url=http://www.pccode.net].net" class="wordstyle"源码能改善安全性。它减缓入侵者的入侵速度，并在发生入侵时使损失最小。另一条理由是：有了可免费获得的设计，解密高手在编写攻击系统的恶意代码时将更为容易。

公开[url=http://www.pccode.net].net" class="wordstyle"源码后的安全性

那么，开放[url=http://www.pccode.net].net" class="wordstyle"源码软件的安全性又怎样的呢？根据定义，开放[url=http://www.pccode.net].net" class="wordstyle"源码软件是所有免费分发的、不特定于某个平台的程序或应用程序，而且其中的编程代码是开放的、可见的。如果其它条件都相同，封闭程序比开放程序更安全吗？

“回答不是‘不'，而是‘可能不'”开放[url=http://www.pccode.net].net" class="wordstyle"源码的提倡者和 The New Hacker's Dictionary 与 "The Cathedral and the Bazaar" 的作者 Eric S. Raymond 说。 “封闭[url=http://www.pccode.net].net" class="wordstyle"源码并不能导致真正的安全性，而会产生一种虚假的安全感”Raymond 说。“您不知道里面到底是什么，您无法验证它，也无法检查其编码人员的人员的设想或真实性。”

在密码界中，有一句谚语：算法的安全性不应该依赖于它的保密性。这一格言对开放[url=http://www.pccode.net].net" class="wordstyle"源码的软件很适用。

Raymond 说：“公开您的方法将导致更好的安全性这个明显矛盾的观点并非计算机软件所独有，军事和外交上的解密者知道这个观点已有一百年了：依赖编码方法的保密性而不依赖密钥的保密性是非常愚蠢的。”

根据 Raymond 和其他开放[url=http://www.pccode.net].net" class="wordstyle"源码的拥护者，开放[url=http://www.pccode.net].net" class="wordstyle"源码是安全操作系统唯一真正的选择。首先，无法检查和验证封闭[url=http://www.pccode.net].net" class="wordstyle"源码应用程序和操作系统的编码是否安全。公开先前保密的代码后几乎总会被发现额外的错误和安全性漏洞。另外，封闭的专用代码在暴露出漏洞或错误时，发布可信赖的修订程序是非常困难的。

就说 2000 年 4 月的事件吧，它曾让那些 Web 站点管理员和系统管理员吓得发抖。经过四年之后，人们才发现 Microsoft 程序员在他们流行的 FrontPage Web 服务器软件中安插了一个后门。这就是事实：软件代码以不透明的二进制格式被“隐藏”起来，使得这一安全性缺口在这么长的时间内都不为大众所知。

由于开放[url=http://www.pccode.net].net" class="wordstyle"源码的软件保证了“自由读取、重新分发、修改和使用软件的权利”，所以隐藏的后门根本不可能逃脱检测。大多数专家都认为遗漏后门这样的几率为零。毕竟，从逻辑上说，有谁会以自己的名誉冒险，在公开使用的[url=http://www.pccode.net].net" class="wordstyle"源码中放置一个后门让别人去发现呢？

“任何将安全性托付给封闭[url=http://www.pccode.net].net" class="wordstyle"源码软件的人都希望在他们的系统中悄悄地安放一个后门，”Open Source Initiative 的总裁 Raymond 说。“Apache 从未有象这样的行为，而且将来也不会。不论 Linux 还是 BIND 库、Perl 或任何其它可用的开放[url=http://www.pccode.net].net" class="wordstyle"源码核心软件都不会这样。”

许多人都来关注

开放[url=http://www.pccode.net].net" class="wordstyle"源码的软件不言而喻的安全性来自于“同级评审”这一从科学界借鉴来的概念。依据 OpenSource.org，Open Source Initiative (OSI) 的官方 Web 站点，开放[url=http://www.pccode.net].net" class="wordstyle"源码的软件“通过支持独立的同级评审和源代码的快速演变提高了软件的可靠性和质量。”

Linux 的基本安全性理论可以归纳为“更多人的关注代表更高的安全性。”换句话说，因为源代码可供所有人评审，所以全世界众多的程序员都可以检测该代码以寻找安全性弱点。另一方面，封闭[url=http://www.pccode.net].net" class="wordstyle"源码应用程序只由那些在关闭的房间内从事专用产品或商业秘密工作的受雇程序员或系统解密高手来审查其弱点。

“封闭[url=http://www.pccode.net].net" class="wordstyle"源码表示只有坏家伙才能查找安全性漏洞。而对于开放[url=http://www.pccode.net].net" class="wordstyle"源码，好人也可以开始查找安全性漏洞了。”Raymond 说。

Raymond 指出，同级评审的这一许诺促进了开放[url=http://www.pccode.net].net" class="wordstyle"源码项目中的安全编码技术。“甚至由持怀疑态度的其他程序员评审源代码这一点，就会改变开发人员的行为，”他说。“他们编写更紧凑、更好更多的无错系统。”

“在开放[url=http://www.pccode.net].net" class="wordstyle"源码的项目中，出错并且让整个开发社区和朋友知道是极其令人羞愧的，”Internet Security Systems Inc. 的高级研究员和 UNIX 系统工程师兼顾问 Michael H. Warfield 说。 “在敲击 Enter 键的最后一刻，即完成更改或将补丁发送到其他程序员的冷酷世界，是所能想象到的最漫长的一刻。”

同时致力于开放和封闭[url=http://www.pccode.net].net" class="wordstyle"源码开发模型工作的 Warfield 说，在开放[url=http://www.pccode.net].net" class="wordstyle"源码的程序员中，对个人责任可追究性有更高的标准，需要更强的专业能力。 Warfield 说：“当[url=http://www.pccode.net].net" class="wordstyle"源码及对其的更改呈现在共众面前让任何人测试时，确保代码的正确性以及没有被任何未知方篡改就成为开发人员的个人职责所在了。”

当在开放[url=http://www.pccode.net].net" class="wordstyle"源码中突然出现安全性问题时，会发生什么呢？“会非常迅速地修复它们。”Raymond 说。只要对比 Microsoft 事件和 "Ping 'O Death" 错误，就能得出这一结论。 "Ping 'O Death" 错误是一个由发送过大的 ICMP 信息包引起的，这一错误在被宣布的几个小时内就在 Linux 中修复好了。因为同级评审，开放[url=http://www.pccode.net].net" class="wordstyle"源码的问题通常会在它们被广泛利用前就被发现并修正。

开放[url=http://www.pccode.net].net" class="wordstyle"源码另一个优点是：软件实际上随时间发展并变得更为安全。由于要受到不断地同级评审，相对于类似的封闭[url=http://www.pccode.net].net" class="wordstyle"源码软件，软件中发现新弱点的数量将随时间不断减少。但是，由于有更多的解密高手在不透明的程序中探寻并查找更隐蔽的错误，随着时间的推移，封闭[url=http://www.pccode.net].net" class="wordstyle"源码的软件将更不安全。

理论与实际的对比

当然，仍有一些持怀疑态度的人。“简单地开放[url=http://www.pccode.net].net" class="wordstyle"源码并不能保证安全性，”计算机顾问和州政府的系统分析员 Craig Willis 说。“与好人在查找弱点一样，那些坏家伙也在做同样的事。您可能不应该依赖于‘通过隐藏实现安全性'，但是如果攻击者可以找到一个更容易的目标，它就可以成为您的优势。”

Network Associates 的首席计算机专家 Lee Badger 反对“许多人来都关注”理论所作的人们都愿意测试相当普通的代码这一假设，他说：“我不能肯定实际情况就是这样。”

甚至一些开放[url=http://www.pccode.net][1] [url=http://www.chinamx.com.cn/Article/os/Linux/200605/20060530123807_28657_2.html][2] 下一页

• ·用户安全
• ·FTP的安全问题
• ·Linux系统常见紧急情况的处理方法
• ·PAM入门介绍
• ·Tripwire应用
• ·用LIDS建立安全的系统(上)
• ·用LIDS建立安全的系统(下)
• ·逃避kstat的检测的lkm程序的实现方法
• ·PAM认证模块使用实例
• ·遭受拒绝服务攻击事件的分析及对策