【大纪元5月14日讯】(大纪元记者向晴勉、莫特编译) IT管理者通常认为开放式原始码的免费软体比那些以营利为目的,非开放原始码的商业软体更安全。任何使用开放原始码的使用者都可以直接检视原始程式码,并测试程式码中所有潜在的弱点,甚至自行修改程式码将所有可能的潜在问题修复。至于那些非开放原始码并以营利为目的的商业软体,你只能完全信赖制作商用软体的公司在贩售这些商用软体时已经把所有可能发生的潜在问题都解决。
对于开放原始码的假设性安全优势,是基于下列三点的前提之下:
1) 确实有人认真的在检视所有的原始码。
2) 一旦有人发现易被攻击的程式码,能即时发怖该资讯,并有人能及时去修正这些程式缺陷。
3) 程式码被修正的资讯能循既有的管道即时发布给所有散布Linux的单位,以及曾利用这些有缺陷的开放原始码来开发自己软体的供应商,都能及时将修正后的程式码套用到他们的软体中。
但是,身为一个末端的使用者,你如何能确定上述三程序有完整的被执行?
一个在三月刚成立的oCERT,电脑安全因应工作小组(Computer Security Response Team)就是为了帮助改善开放原始码的安全性所成立的。
对所有的基于开放原始码所设计的软体,oCERT扮演着资讯安全清算所(Clearinghouse) 的角色。譬如说你正在使用一个小型的开放原始码,或者你仅仅是给一个大型应用程式提供其中一部分的程式。由于只是一两个人的小项目,当发现有瑕疵,你没有时间去联系所有应用你所提供的程式码的每一个人。这时oCERT就可以介入协助发布此消息,给所有的开放原始码社群的所有人,让他们能即时得到相关资讯。
同样的,一个有规模的Linux发布者,他们可能整合上百,甚至数以千计的开放原始码专案的程式码。他们可以与oCERT 合作,来确保所有的程式漏洞都可以被安全的修正。开放原始码的使用者们也可以通过回报安全上的问题来帮助oCERT的工作。
如果你的公司正计划开发开放原始码的软体,oCERT可以协助提供在开放原始码社群中他们所掌握的可信赖﹑且可帮助修正改善程式安全的人员连络方式。这些人可以帮助你规划并协调关于你所提供有关开放原始码的回应。
为了能维持开放原始码的传统(以及开放原始码的资金来源),oCERT的工作是属于义工性质,它提供的服务是不收费的。这个工作小组的营运成本是由赞助者所捐助,最新的一笔捐款来自Google。Google在周一时在部落格贴文,详细的说明oCERT的工作的重要性。
从很多方面来说,oCERT都是一个值得推广的计划。很多人希望oCERT获得足够的支援,让它能够长久的维持运作下去。(oCERT这个名称可能就是一个问题,CERT这个名称已经被卡内基美林内(Carnegie Mellon) 大学申请了注册商标)。
(http://www.dajiyuan.com)
