能力越強、責任越大

◎ 本文原載 Linux Pilot，原文章連結按此。

最近筆者參加了一個廠商舉辦的產品發布會，重點推廣的是一個可判斷軟體是否有保安漏洞的工具。負責介紹產品的是一位資深的保安顧問，但言談之間卻多次將開源技術與危險性劃上等號，目的自然是為了顯示他們的產品何等安全，但概念上卻大錯特錯。

先解答一條小學程度的問題：「槍械危險嗎？」對一個對武器系統 (Weapon System) 沒有概念的人來說，槍械的確可能對他甚至他身邊的人構成危險。但對於一個身經百戰的士兵來說，槍械卻是他保命的關鍵，手上如果沒有槍械的話反而更加危險。

說到這裡大家都應該明白了，槍械本身只是一件工具，是否危險的關鍵，在於什麼人在什麼情形下使用它。開源技術也是一樣，技術本身是中性的，從來沒有危險與否之分。攻擊者可以用付費軟體進行入侵，也可以用免費或開源軟體來入侵，防守的一方亦是一樣。依照這樣的邏輯，付費和開源軟體的安全性其實差不多。如果因為有人使用開源軟體作為攻擊工具，就強行將「危險」的標籤加在開源軟體身上，那麼我們和將投擲原子彈責任推在愛恩斯坦身上的人有何分別？

再說要架設 Web 服務，大部分人都會使用開源軟體。除了因為成本低之外，還因為它極高的可塑性，可以配合任何業務環境的需要。但這亦意味著技術人員需具備一定程度的保安知識，例如部分 Linux 版本在預設值下，會將名字和版本編號告知連線到伺服器的用戶，但此等資訊卻可能成為攻擊者找出漏洞的線索。如果因為用戶「學藝不精」就認定開源技術是「危險」的話，在美國我們大概要廢除醫療行業了，因為每年死在醫生手上的人比交通意外和槍擊還要多。

開源軟體是集合了全球開發者心血結晶的產品，他們沒有因此要求任何報酬。如果你認為它不安全，就應該積極參與去改良它，而不是消極地冷眼旁觀、然後提出一些似是而非的觀點恐嚇大眾再謀取暴利。「能力越強、責任越大」不但是電影的經典台詞，也應該是軟體產業友好的座右銘。