暗网潜航——开源不开源考量
庞博文
2021-12-13 00:00 HKT
字体大小
最近有很多人在争论,软件的安全性应该取决于开源还是不开源,而且这个争拗似乎愈演愈烈。作为一个在信息安全行业拥有25年经验、持有软件编码安全审计牌照,以及在大专院校教授安全编码十多年的人,我想说说我的看法。
首先,我是一个支持开源软件的「柯克霍夫原则」忠实追随者,但我的行业经验却告诉我,软件应否开源有很多条件限制。所以如果有人言之凿凿,一面倒地说开源软件比不开源的更安全,而没有考虑软件的实际应用环境及周边因素,似乎有点儿说不过去。事实上,现时争论双方都有一个共同盲点,两者均作出「开源软件绝对安全」或「开源软件绝对不安全」的绝对性立论,究竟这种立论从何而出?
当面对软件应否开源时,我会作出以下考量,包括应否开放软件中所有模组的源始码;软件的使用场景及用途会否牵涉到法律管制区的限制;软件使用者或参与者的安全管理、意识水平、技术熟练程度、代表身份或机构的限制;数据的储存分布方式、敏感程度及风险管理,例如数据泄露带来的成本及后果。如果不考虑这些因素,就定断开源与不开源的安全性实在太过武断了。
正因为如此,每种开源软件在开放原始码的程度和比例都会有所不同,亦引致开源的授权许可条款会有不同的版本和方式。故此,我奉劝争论双方在坚持你们的主张时,最好先想清楚才说吧。
TOZ联合创办人
庞博文
首先,我是一个支持开源软件的「柯克霍夫原则」忠实追随者,但我的行业经验却告诉我,软件应否开源有很多条件限制。所以如果有人言之凿凿,一面倒地说开源软件比不开源的更安全,而没有考虑软件的实际应用环境及周边因素,似乎有点儿说不过去。事实上,现时争论双方都有一个共同盲点,两者均作出「开源软件绝对安全」或「开源软件绝对不安全」的绝对性立论,究竟这种立论从何而出?
当面对软件应否开源时,我会作出以下考量,包括应否开放软件中所有模组的源始码;软件的使用场景及用途会否牵涉到法律管制区的限制;软件使用者或参与者的安全管理、意识水平、技术熟练程度、代表身份或机构的限制;数据的储存分布方式、敏感程度及风险管理,例如数据泄露带来的成本及后果。如果不考虑这些因素,就定断开源与不开源的安全性实在太过武断了。
正因为如此,每种开源软件在开放原始码的程度和比例都会有所不同,亦引致开源的授权许可条款会有不同的版本和方式。故此,我奉劝争论双方在坚持你们的主张时,最好先想清楚才说吧。
TOZ联合创办人
庞博文
最Hit
76岁「镇台之宝」主角变三线艺员曾被闹戏屎 谈公司陷财困:年年减薪,唔减薪𠮶年就减骚
2025-12-13 14:30 HKT
长者乘车优惠明年4月收紧!长者群组热议「两蚊两折」点样计? 每月限搭240程?北上深圳贵好多?
2025-12-12 17:51 HKT
更多文章