开源如何提高软件的安全性

坦率地说:您的代码充满了安全漏洞。同样糟糕的是，你的员工在密码和其他侵入你数据的方法上也很粗心。

因此，尽管我们可能会对塔吉特(Target)、摩根士丹利(Morgan Stanley)或其他数十起安全漏洞束手无策，但事实是，你的公司尚未被攻破的唯一原因，就是黑客懒得去尝试。然而。

再多的生物识别技术也无法修复这些缺陷。没有专断的工程方法。没有什么可以修复等待发生的软件安全漏洞，这就是您的代码库。

也许，除了开源。或者，更确切地说，是一种开源方法。

从来没有编写过完全安全的软件。无论如何，不是任何人实际使用的那种。

因此，当Pushd的工程师本·切里(Ben Cherry)说所有软件都有缺陷时，我点头表示同意:

可怕吗?是的。但是标准的操作程序呢?也没错。

多年来，开源世界一直标榜自己是解决软件漏洞的答案。按照这种思路，必须公开源代码的开发人员——就像把内衣穿在其他衣服上一样——往往会编写出更好的代码。

这是一个很好的，直观的想法。就目前而言，这是对的。

毕竟，多年来的研究表明，平均而言，开源软件项目的缺陷要比其专有项目少得多。但是“少”并不等于“没有”。

“没有漏洞”也不是重点。

“没有漏洞”不仅是一个不可能实现的目标，而且也没有必要。如前所述，开源给安全性带来的价值与初始代码质量关系不大，而与最终的解决方案处理关系很大。

考虑到所有软件都存在安全漏洞，最好的软件应该是那些能够让感兴趣的、有能力的开发人员组成的社区来修复它的软件。

有时这种修复会在漏洞被利用之前出现，但通常不会。很少有开发人员有时间或方法在发现这些bug之前发现其他人代码中的缺陷。

不，唯一能找到这些漏洞的是那些寄生黑客，他们想把你的烂代码变成烂钱。是的，你可能会做各种各样的测试来首先找到缺陷，但是你会失败。只是洞太多了。总是这样。

与其假设原始代码，不如假设有缺陷。有了这样的假设，当您可以调用骑兵时，几乎总是更容易解决问题。

因此，虽然您可能有业务或其他原因来隐藏您的代码，但安全性不应该是其中之一。“通过隐藏实现安全”的方法从来没有起过作用，也永远不会起作用。