暗網潛航——開源不開源考量
最近有很多人在爭論,軟件的安全性應該取決於開源還是不開源,而且這個爭拗似乎愈演愈烈。作為一個在信息安全行業擁有25年經驗、持有軟件編碼安全審計牌照,以及在大專院校教授安全編碼十多年的人,我想說說我的看法。
首先,我是一個支持開源軟件的「柯克霍夫原則」忠實追隨者,但我的行業經驗卻告訴我,軟件應否開源有很多條件限制。所以如果有人言之鑿鑿,一面倒地說開源軟件比不開源的更安全,而沒有考慮軟件的實際應用環境及周邊因素,似乎有點兒說不過去。事實上,現時爭論雙方都有一個共同盲點,兩者均作出「開源軟件絕對安全」或「開源軟件絕對不安全」的絕對性立論,究竟這種立論從何而出?
當面對軟件應否開源時,我會作出以下考量,包括應否開放軟件中所有模組的源始碼;軟件的使用場景及用途會否牽涉到法律管制區的限制;軟件使用者或參與者的安全管理、意識水平、技術熟練程度、代表身份或機構的限制;數據的儲存分佈方式、敏感程度及風險管理,例如數據洩露帶來的成本及後果。如果不考慮這些因素,就定斷開源與不開源的安全性實在太過武斷了。
正因為如此,每種開源軟件在開放原始碼的程度和比例都會有所不同,亦引致開源的授權許可條款會有不同的版本和方式。故此,我奉勸爭論雙方在堅持你們的主張時,最好先想清楚才說吧。
TOZ聯合創辦人
龐博文
首先,我是一個支持開源軟件的「柯克霍夫原則」忠實追隨者,但我的行業經驗卻告訴我,軟件應否開源有很多條件限制。所以如果有人言之鑿鑿,一面倒地說開源軟件比不開源的更安全,而沒有考慮軟件的實際應用環境及周邊因素,似乎有點兒說不過去。事實上,現時爭論雙方都有一個共同盲點,兩者均作出「開源軟件絕對安全」或「開源軟件絕對不安全」的絕對性立論,究竟這種立論從何而出?
當面對軟件應否開源時,我會作出以下考量,包括應否開放軟件中所有模組的源始碼;軟件的使用場景及用途會否牽涉到法律管制區的限制;軟件使用者或參與者的安全管理、意識水平、技術熟練程度、代表身份或機構的限制;數據的儲存分佈方式、敏感程度及風險管理,例如數據洩露帶來的成本及後果。如果不考慮這些因素,就定斷開源與不開源的安全性實在太過武斷了。
正因為如此,每種開源軟件在開放原始碼的程度和比例都會有所不同,亦引致開源的授權許可條款會有不同的版本和方式。故此,我奉勸爭論雙方在堅持你們的主張時,最好先想清楚才說吧。
TOZ聯合創辦人
龐博文