众目睽睽下,开源安全性更好吗?
source link: https://www.linuxprobe.com/open-security-eyes.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
早在1999年,ESR(Eric Raymond)就创造了“Linus' Law”这一术语,该法规定,只要有足够的眼睛,所有的 bug 都很容易发现。
为了纪念Linux创建者Linus Torvalds而命名的Linus' Law,近二十年来被一些人用作解释为什么开源软件应该具有更好安全性的学说。近年来,开源项目和代码经历了多个安全问题,但这是否意味着Linus' Law无效了呢?
根据VMware的副总裁兼首席开源官Dirk Hohndel的说法, Linus' Law仍然有效,但是有更大的软件开发问题影响开源以及具有同等或更重要性的封闭源代码。
“我认为,在每种发展模式中,安全始终是一项挑战,”Hohndel说。
Hohndel表示,开发人员通常会受到创新的鼓舞,并考虑如何让某些东西发挥作用,而安全性并不总是他们应该优先考虑的问题。
“我认为安全不是我们应该将其视为开源与封闭源代码的概念,而是作为一个行业。”Hohndel说。
在Hohndel看来,关键问题不是关于软件开发模型,而在于要有一个使软件更有弹性的架构设计。特别是对于VMware,他说该公司花了很多时间研究攻击面。例如,使用PKS(Pivotal Container Service)(Kubernetes容器业务流程分发),核心组件是VMware NSX。通过NSX,Hohndel表示,一组织可以分割网络,从而减少攻击面。
Hohndel表示,许多眼睛使所有的 bug 都很容易发现,这种想法只有在有多个眼睛时才有效。在Hohndel看来,Linux内核开发过程是一个开源项目的一个很好的例子,它确实可以执行正确的代码审查。
Hohndel说:“对于任何软件产品来说,最大的挑战之一,不管是开源的还是开源的,就是找到足够多的合格的评审员,确保你不会被创新的速度所压倒,并且你会花时间去做真正的代码评审。”
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK