登入  |  English
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
新聞

能力越強、責任越大

◎ 本文原載 Linux Pilot,原文章連結按此

最近筆者參加了一個廠商舉辦的產品發布會,重點推廣的是一個可判斷軟體是否有保安漏洞的工具。負責介紹產品的是一位資深的保安顧問,但言談之間卻多次將開源技術與危險性劃上等號,目的自然是為了顯示他們的產品何等安全,但概念上卻大錯特錯。

alt

 

先解答一條小學程度的問題:「槍械危險嗎?」對一個對武器系統 (Weapon System) 沒有概念的人來說,槍械的確可能對他甚至他身邊的人構成危險。但對於一個身經百戰的士兵來說,槍械卻是他保命的關鍵,手上如果沒有槍械的話反而更加危險。

說到這裡大家都應該明白了,槍械本身只是一件工具,是否危險的關鍵,在於什麼人在什麼情形下使用它。開源技術也是一樣,技術本身是中性的,從來沒有危險與否之分。攻擊者可以用付費軟體進行入侵,也可以用免費或開源軟體來入侵,防守的一方亦是一樣。依照這樣的邏輯,付費和開源軟體的安全性其實差不多。如果因為有人使用開源軟體作為攻擊工具,就強行將「危險」的標籤加在開源軟體身上,那麼我們和將投擲原子彈責任推在愛恩斯坦身上的人有何分別?

再說要架設 Web 服務,大部分人都會使用開源軟體。除了因為成本低之外,還因為它極高的可塑性,可以配合任何業務環境的需要。但這亦意味著技術人員需具備一定程度的保安知識,例如部分 Linux 版本在預設值下,會將名字和版本編號告知連線到伺服器的用戶,但此等資訊卻可能成為攻擊者找出漏洞的線索。如果因為用戶「學藝不精」就認定開源技術是「危險」的話,在美國我們大概要廢除醫療行業了,因為每年死在醫生手上的人比交通意外和槍擊還要多。

開源軟體是集合了全球開發者心血結晶的產品,他們沒有因此要求任何報酬。如果你認為它不安全,就應該積極參與去改良它,而不是消極地冷眼旁觀、然後提出一些似是而非的觀點恐嚇大眾再謀取暴利。「能力越強、責任越大」不但是電影的經典台詞,也應該是軟體產業友好的座右銘。




自由軟體鑄造場電子報 : 第 206 期 從開源軟體到開放資料-論 Open Database License v1.0

分類: 自由專欄