开源软件的崛起会改善软件安全吗

2014 年 4 月， OpenSSL Heartbleed 漏洞的发现在互联网上引起了轩然大波，其影响范围之大甚至超过了上一年的 Struts 框架远程执行漏洞。紧接着，在 6 月份，Bash 又曝出了 ShellShock 漏洞。该漏洞自 1989 年以来就潜伏在开源 Bash 项目中。可以说，在软件安全方面，2014 年是非常糟糕的一年。Jim Zemlin 是 Linux 基金会的执行董事。近日，他就软件安全及开源的相关问题接受了 InfoWorld 总编 Eric Knorr 的采访。

针对 OpenSSL 出现的安全漏洞，Zemlin 承认，“经过社区审查的开源代码比闭源代码更安全”这个命题已经不成立了。OpenSSL 项目一个很大的问题是只有两名独立顾问 Dr. Stephen Henson 和 Steve Marquess 维护。虽然有许多人会看到这些代码，但实际上没有多少人有那么多精力去审查代码，更不用说还需要具备极深的专业知识。因此，在 Heartbleed 漏洞曝出后，Zemlin 迅速组织成立了“核心基础设施联盟（Core Infrastructure Initiative）”, 并邀请了 Amazon Web Services、Adobe、Cisco、Facebook、Google 等数十家行业巨头加入。他们承诺每年提供 10 万美元的资金支持，至少持续三年。借助这笔资金，Zemlin 为 OpenSSL 项目雇佣了两位全职工作人员，并且启动了 Open Crypto Audit 项目，对 OpenSSL 代码库进行安全审查。

与 OpenSSL 相关的组织因为 Heartbleed 这一灾难性漏洞联合了起来。与此不同的是，在过去几年中，一些影响力很大的开源项目在早期阶段就得到了行业巨头的支持，如 Docker、Kubernetes。另外一些项目本身就是联合创立的，如 OpenStack、OpenDaylight。Zemlin 认为，在这种情况下，项目就不会因为资源匮乏而失去活力。不过，这也并不能保证产生完全安全的代码。因为让开发人员严肃对待安全问题一直就很困难，而这不仅仅是因为缺少兴趣，还因为严格的安全保护与可用性之间存在矛盾。

另外，Knorr 提到， CoreOS 推出 Rocket 向 Docker 发起挑战。他认为，CoreOS 紧追 Docker 在安全方面做工作有望形成良性循环。包括微软在内的每一个行业巨头都已经看到了开源软件高速创新所带来的好处。他们的加入以及对基础开源技术开发的支持将有助于在总体上改善软件安全。

感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ）或者腾讯微博（ @InfoQ ）关注我们，并与我们的编辑和其他读者朋友交流。