开源等于安全吗?

oschina
 oschina
发布于 2015年11月04日
收藏 6

今年,汽车圈的那些事占据着媒体头条,比如黑客入侵吉普车、大众汽车在排放测试上作弊, 这说明公众开始思索汽车的软件问题,这是前所未有的。有些专家可能会争辩说,强制这些软件开源,是一个解决办法。虽然将这些软件置于公众的审视之下是有明 显好处的,但开放代码这种行为本身,并不能给你带来保障。就像Sam Liles在一封电子邮件中给我解释的那样,开源并没有阻止“破壳(ShellShock)”漏洞的发生。

Liles教授以前是普渡大学数字取证领域的教授,在那儿工作时,他和他的学生研究过汽车和其他物联网设备的安全。他说,多重防御的思想已经落伍,我们无法再靠多设几层安全屏障来保护自己。举个例子,我们的手机和其他个人设备,知道我们的一切:我们去过哪里,和谁联系过,甚至何时做爱。这些设备,以及存在其中的所有信息,已经渗透到我们生活和工作的方方面面。一部被入侵的手机,可以挖出各种隐藏的信息,或者把威胁传播给与之相连的其他设备。

这些设备的存量本身就是个威胁。“如果发生了安全事件,谁应为此负责?”Liles问。就我们这个问题来说,谁来审查那些代码?在《大教堂和市集》中,Eric S. Raymond写道,“只要给予足够的关注,所有的bug都会显形”,他称之为Linus定律,但我们不能指望什么软件都有足够的关注度。像OpenSSL这样成名已久的重要项目都因为缺乏资金而无法预防像“心脏滴血(Heartbleed)”这样的Bug,那运行在你设备中的你都已习以为常的成千上万行代码,又指望谁去审查呢?

2011年,美国国家航空航天局和美国高速公路安全管理局针对丰田汽车意外加速事件进行了调查,结果显示并没有证据表明电子设备的失控能导致大量意外加速,但尽管如此,其他研究人员还是找到了能让汽车产生加速的软件方法。“如果电源管理单元被攻破,”IOActive的报告指出,"加速度就会迅速变化,汽车将处于极度危险中。"毫无疑问,软件是现代汽车安全的一个至关重要的组件。

然而,像Liles小组所做的那类研究还是不多见的。单纯分析软件是一件困难的事。“系统中几乎从来不考虑集成一个用于搜集取证的模块,为了使证据 有法律效力,必须要使用逆向工程的手段来取证。”Liles说。此外,物联网给汽车带来的威胁在不断变化,所以我们的研究方向也要随之改变。“很多陈旧的 信息保护手段,安全规则和教条,有时还称之为科学的东西,都是基于谬见、伪事实和过时的技术概念而来的。”

所以,开源软件要如何适应这种形势?无论是否开源,偶发的bug总是会出现,有时还很严重。“心脏滴血(Heartbleed)”、“破壳 (ShellShock)”,以及开源软件中其他备受瞩目的漏洞都在告诉我们,这就是现实。开源更容易使软件被恶意利用,而只有在我们能验证软件的行为和 代码的意图一致时,其开放性才能带来好处。这一点将愈发重要,因为汽车正在变成和我们的手机和移动互联网服务相连的开放系统。

转载自 InfoQ

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:开源等于安全吗?
加载中

最新评论(24

云怀天河心
云怀天河心
为什么诺基亚3310是全世界最安全的手机
Havencode
Havencode

引用来自“开源中国七里香”的评论

请直接告诉我,怎么才能安全
不用就安全了!
n
netlibo

引用来自“mrgoodman”的评论

我知道在兲朝,开源等同于免费,起码管理当局是这样认为的!

引用来自“发芽的红薯”的评论

顶 +10086,还有就是使用开源软件并不能让领导们从中获得油水,因为免费,也就没有虚假报价的可能

引用来自“netlibo”的评论

你把他们想的太low了,其实比你睿智多了

引用来自“南漂一卒”的评论

Red Hat、MySQL 的支持服务费 更有的余地吧?还是长期的~
还是有明白人的
南漂一卒
南漂一卒

引用来自“mrgoodman”的评论

我知道在兲朝,开源等同于免费,起码管理当局是这样认为的!

引用来自“发芽的红薯”的评论

顶 +10086,还有就是使用开源软件并不能让领导们从中获得油水,因为免费,也就没有虚假报价的可能

引用来自“netlibo”的评论

你把他们想的太low了,其实比你睿智多了
Red Hat、MySQL 的支持服务费 更有的余地吧?还是长期的~
莊博堯
莊博堯
共產黨絕對認爲國民黨的閉源軟件不安全,開源軟件至少可檢查

國民黨一定相信共產黨的閉源軟件不安全,開源軟件至少可檢查
月影南溪
月影南溪

引用来自“mrgoodman”的评论

我知道在兲朝,开源等同于免费,起码管理当局是这样认为的!
也就你这样的会这么想。自己low就不要以为都比你low
开源中国最大五毛
开源中国最大五毛

引用来自“mrgoodman”的评论

我知道在兲朝,开源等同于免费,起码管理当局是这样认为的!

引用来自“发芽的红薯”的评论

顶 +10086,还有就是使用开源软件并不能让领导们从中获得油水,因为免费,也就没有虚假报价的可能

引用来自“netlibo”的评论

你把他们想的太low了,其实比你睿智多了

引用来自“发芽的红薯”的评论

你被我党洗脑洗的太干净了,唉
—————————————————————————————————
我都是对人民群众好我就支持谁,我才不管是哪个党
大妓院看多的都这么说。
ShowHeart
ShowHeart
开源≠免费
Kevin19701
Kevin19701
一方面要求别人开源,借安全的名义自己审核代码,另一方面偷师后搞个闭源捞钱。
山雨欲来
山雨欲来

引用来自“mrgoodman”的评论

我知道在兲朝,开源等同于免费,起码管理当局是这样认为的!

引用来自“发芽的红薯”的评论

顶 +10086,还有就是使用开源软件并不能让领导们从中获得油水,因为免费,也就没有虚假报价的可能

引用来自“netlibo”的评论

你把他们想的太low了,其实比你睿智多了
你被我党洗脑洗的太干净了,唉
—————————————————————————————————
我都是对人民群众好我就支持谁,我才不管是哪个党
返回顶部
顶部