暗网潜航——开源安全吗?
庞博文
2021-03-08 04:17 HKT
字体大小
防疫软件「安心出行」令坊间多了对「开源软件」讨论,在各方评论中,我发现大家不太明白甚么是「开源」(OpenSource)。反对「开源」的人认为,它是把所有程式源代码毫无保留向公众公开,所以认为它并不安全,甚至会侵犯商业版权和知识财产。支持「开源」的人则认为,它会毫无保留理解整个软件的所有源代码,最后落在「开源是否安全」的问题。
大家似乎对「开源软件」、「自由软件」、「著作权」、「公共版权」、「软件质量管理」、「源代码安全开发」,以及「通用公众特许条款」不甚了解。「开源」和「自由」软件运作机制和被创造的目的非常宏大而且复杂,不是三言两语可解释清楚,今次我想厘清一些大家对「开源」和「自由」软件认知不足而产生的误解。
首先「开源」并不意味要把程式源代码完全向公众呈现和分享,这是因为对于「GNU计划」的整个运作机制不理解而产生的谬误,「GNU计划」是会诞生数百种不同限制范围的授权方式。以作业系统Linux为例,一般都是由不同的软件所组成的聚合体,当中每一个不同模组会有不同版权限制,包括把程式源代码部份或完全开放的「开源」或「自由」软件,和程式源代码完全不开放的「专属软件」。第二点是开放程式源代码是不安全,软件是否安全是基于开发质量和对漏洞及危机反应速度,这是资源上的运用和协调,同时包括开发人员对于源代码安全开发的认知。
如果想清楚理解甚么是「开源」和「自由」软件,笔者推荐大家细阅Eric Steven Raymond的著作《大教堂与市集》。
TOZ联合创办人
庞博文
大家似乎对「开源软件」、「自由软件」、「著作权」、「公共版权」、「软件质量管理」、「源代码安全开发」,以及「通用公众特许条款」不甚了解。「开源」和「自由」软件运作机制和被创造的目的非常宏大而且复杂,不是三言两语可解释清楚,今次我想厘清一些大家对「开源」和「自由」软件认知不足而产生的误解。
首先「开源」并不意味要把程式源代码完全向公众呈现和分享,这是因为对于「GNU计划」的整个运作机制不理解而产生的谬误,「GNU计划」是会诞生数百种不同限制范围的授权方式。以作业系统Linux为例,一般都是由不同的软件所组成的聚合体,当中每一个不同模组会有不同版权限制,包括把程式源代码部份或完全开放的「开源」或「自由」软件,和程式源代码完全不开放的「专属软件」。第二点是开放程式源代码是不安全,软件是否安全是基于开发质量和对漏洞及危机反应速度,这是资源上的运用和协调,同时包括开发人员对于源代码安全开发的认知。
如果想清楚理解甚么是「开源」和「自由」软件,笔者推荐大家细阅Eric Steven Raymond的著作《大教堂与市集》。
TOZ联合创办人
庞博文
更多文章