開放原始碼是近來人們的一個熱點話題。這會對資訊保安帶來什麼影響?開放原始碼和封閉原始碼相比,哪個更安全?接下來,小編為您詳細講解!
一、黑客可以找到其中的安全漏洞
這種觀點成立的前提是:黑客們不會找出封閉原始碼軟體中的安全漏洞。但是我們只需要到網上去查詢一下與封閉原始碼軟體相關的安全警告和安全建議,就會知道這明顯不是事實。例如,1999年12月,Todd Sabin在Bugtraq郵件列表上宣佈,他發現了一個Windows NT的SYSKEY缺陷,而這個缺陷就是在沒有原始碼的情況下(眾所周知,微軟不提供原始碼),利用反彙編器發現的'。實際上,大多數黑客們在破解程式時並不一定需要有原始碼。
二、開放的就是不安全的
因為對大多數人來說,安全指的就是隱藏的、祕密的、不開放的。在加密學中有一句諺語:一個加密演算法的安全不應當依賴於它是祕密的。歷史證明,祕密的加密演算法終究會被破解。現在的加密演算法(如AES)大都是公開的,而其安全強度依賴於所用金鑰的長度。這句話同樣可以應用於一般的安全軟體。演算法可以被人採用反向工程攻破,協議可以通過分析技術去解析。隱藏的和祕密的東西最終會被發現並公佈於眾。因此,靠封閉和隱祕達到安全的目的,在很大程度上可以說是不可能的。
三、開放程式碼沒人注意
有個例子,在PGP 2.6釋出以後,有人就在Bugtraq郵件列表上宣佈,在檢查程式碼時發現,其中一個隨機數生成器中有一個"臭蟲"。這個錯誤很細小,在進行異或操作的程式碼中,卻使用了賦值運算子號(=)。這表明,"即便程式碼開放了,也沒有人會真正去檢查"的想法是站不住腳的,在開放原始碼模型中,這樣細小的錯誤都能被發現,所以說,嚴重錯誤或後門不被發現的可能性極小。
四、開放原始碼中可放置後門
這在理論上是成立的,但是如何在其中放置後門或陷阱?因為開放原始碼軟體使用程式碼控制系統來管理程式碼樹,而且有許多人在檢查和分析程式碼,更重要的是,程式碼本身意味著作者的個人名譽。誰願意冒險在開放的程式碼中放置後門而喪失個人名譽和聲望呢? 對比而言,封閉原始碼的軟體中更容易放置後門或者陷阱,在Windows作業系統中發現的NSA金鑰即是有力的證據。
