Jeep 黑客和大眾汽車(chē)排放丑聞這樣的汽車(chē)軟件問(wèn)題成為了今年的頭條，表明公眾開(kāi)始重視之前從未考慮過(guò)的汽車(chē)軟件安全問(wèn)題了。一些專(zhuān)家認(rèn)為強(qiáng)制要求某些軟件開(kāi)源是解決問(wèn)題的一個(gè)好辦法。盡管如此可以讓軟件被公眾監(jiān)督，但開(kāi)放代碼這個(gè)事情本身卻不能給你帶來(lái)保障。就像 Sam Liles 最近發(fā)給我的郵件所說(shuō)的一樣，開(kāi)源并不能夠阻止破殼漏洞ShellShock的出現(xiàn) 。

Liles 博士曾是普渡大學(xué)網(wǎng)絡(luò)取證專(zhuān)業(yè)的教授。在那時(shí)，他和他的學(xué)生研究汽車(chē)以及其他物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全問(wèn)題。他說(shuō)，多層防御已經(jīng)接近死亡，換言之我們不能再依賴(lài)于多弄幾層的安全保護(hù)了。我們的手機(jī)和其他個(gè)人設(shè)備可能泄露我們正在做的事情，例如：我們?nèi)チ四膬?，我們正在和誰(shuí)交流，或其他更加隱私的活動(dòng)等。這些設(shè)備和它們所包含的信息，存在于我們的私人和工作網(wǎng)絡(luò)中。顯然一個(gè)被入侵的手機(jī)可能被利用，入侵者可以訪問(wèn)其發(fā)現(xiàn)的所有信息，甚至把病毒傳播給與它相連接的所有電子設(shè)備。

單就這些設(shè)備的數(shù)量本身就是一個(gè)巨大挑戰(zhàn)。Liles 提出一些問(wèn)題：“誰(shuí)來(lái)做這個(gè)級(jí)別的事件響應(yīng)？”更重要的是，誰(shuí)來(lái)審核所有的代碼？ Eric S. Raymond 在《大教堂與集市》中寫(xiě)道，“只要有足夠多的眼睛，所有的問(wèn)題都將不是問(wèn)題，” 此稱(chēng)之為林納斯定律。但我們不能僅僅只依賴(lài)于足夠多的眼睛來(lái)發(fā)現(xiàn)問(wèn)題。假 如像 OpenSSL 這樣重大的項(xiàng)目都會(huì)由于缺少資金而導(dǎo)致 Heartbleed 這類(lèi)漏洞的話，那么誰(shuí)來(lái)檢查這些我們每天都用到的數(shù)以百萬(wàn)行代碼的軟件呢？

[[155018]]

開(kāi)源的代碼就真的絕對(duì)安全？

雖然 2011 年美國(guó)航空航天局和國(guó)家公路交通安全管理局做的關(guān)于豐田汽車(chē)意外加速事件的調(diào)查表明：“沒(méi)有證據(jù)證明電子故障是導(dǎo)致大量意外加速的原因”，但是其他研究人員已經(jīng)確定汽車(chē)可以通過(guò)軟件來(lái)加速。IOActive 報(bào)告中寫(xiě)道：“如果電源管理 ECU 被破壞，我們將能夠很容易的改變速度，這個(gè)時(shí)候汽車(chē)是非常不安全的”。顯然，軟件已經(jīng)是現(xiàn)代汽車(chē)安全的重要組成部分之一。

然而，與 Liles 團(tuán)隊(duì)做類(lèi)似研究的仍然很少。單純分析軟件是非常困難的。Liles 認(rèn)為：“計(jì)算機(jī)取證模塊幾乎很少被內(nèi)置到系統(tǒng)中，但是為了使證據(jù)具有法律效力，往往需要借助逆向工程。”此外，物聯(lián)網(wǎng)設(shè)備所帶來(lái)的威脅需要從研究方式上進(jìn) 行根本解決。解決掉一些舊的信息保障，安全體系學(xué)說(shuō)，基于神學(xué)、半真理性的，過(guò)時(shí)的技術(shù)理論等。

那么，到底要不要將開(kāi)源思想融入進(jìn)去呢？不管代碼是否開(kāi)源，一些意外的錯(cuò)誤仍然存在。心臟滴血（Heartbleed） , 破殼漏洞（ShellShock）等 漏洞的存在確實(shí)證實(shí)了許多開(kāi)源軟件同樣存在一定的漏洞。有些人為的錯(cuò)誤在開(kāi)源代碼中有著更加巨大的風(fēng)險(xiǎn)。開(kāi)源在某種程度只是給我們提供了一種監(jiān)管方式，我 們可以方便的查看、檢驗(yàn)源代碼實(shí)際的運(yùn)作情況。當(dāng)汽車(chē)成為開(kāi)放的系統(tǒng)并與我們的電話，互聯(lián)網(wǎng)相連之后，這其中的安全問(wèn)題也變得愈加突出。

來(lái)源：LinuxStory    原文：http://opensource.com/life/15/10/open-source-code-is-not-warranty 作者： Ben Cotton
譯文：http://www.linuxstory.org/httpwww-linuxstory-orgopen-source-code-is-not-a-warranty/ 譯者： ZERO