Mozilla首席技術(shù)官Brendan Eich頓促網(wǎng)友們要謹(jǐn)慎，不要盲目相信軟件供應(yīng)商。Eich認(rèn)為唯有開(kāi)源軟件能確保不含政府授權(quán)植入的監(jiān)控代碼。

Eich在一篇與Mozilla研發(fā)副總裁Andreas Gal合寫(xiě)的博客文章指，“今時(shí)今日，大型瀏覽器無(wú)一不是通過(guò)受監(jiān)控律法約束的組織發(fā)布的。”

Eich認(rèn)為，根據(jù)監(jiān)控法，政府可以強(qiáng)迫軟件公司在他們的產(chǎn)品植入監(jiān)控代碼。更糟的是，由于言論禁令，這些公司及廠商不能向公眾披露監(jiān)控代碼的存在。

這位Mozilla大哥認(rèn)為，開(kāi)源軟件有助于緩解這一風(fēng)險(xiǎn)，因?yàn)榭蛻艨梢赃x擇審查源代碼和找到潛在的后門(mén)。

Eich說(shuō)，同樣重要的是，安全研究人員可以編譯開(kāi)源項(xiàng)目的源代碼，用得到的可運(yùn)行程序與分發(fā)軟件供應(yīng)商的程序比較，以確保下載的可運(yùn)行文件不包含任何未披露的附加元件。

Eich表示，對(duì)于像IE瀏覽器之類的產(chǎn)品，這樣做是不可能的，因?yàn)槲④洸⒉慌c客戶分享專有代碼。

他補(bǔ)充說(shuō)，那些使用如WebKit和Blink開(kāi)源HTML渲染引擎的瀏覽器也不安全。他特別提到Safari和Chrome瀏覽器的專有代碼含有一些“重要的成分”，以提供政府設(shè)置潛在陷阱的可能。

Eich免不了在博文里吹噓一下火狐這款非盈利瀏覽器，“而Mozilla的火狐瀏覽器是100%的開(kāi)源。”

到目前為止，100%開(kāi)源其實(shí)也未必可以保護(hù)火狐用戶免受監(jiān)控。去年八月，一個(gè)通過(guò)匿名洋蔥網(wǎng)絡(luò)發(fā)布的火狐瀏覽器版本被發(fā)現(xiàn)含漏洞可導(dǎo)致用戶遭受攻擊。漏洞會(huì)泄露用戶的MAC地址(物理地址)。騙子偶爾也能欺騙火狐瀏覽器用戶下載附有假軟件和惡意軟件的更新。

為了解決這個(gè)問(wèn)題，Eich呼吁安全研究人員“定期審計(jì)Mozilla的源代碼，并通過(guò)各種有效的手段驗(yàn)證軟件各個(gè)階段的可運(yùn)行程序，”包括建立自動(dòng)化步驟，以及在發(fā)現(xiàn)問(wèn)題時(shí)及時(shí)向用戶發(fā)出警報(bào)。

他還提出，這種經(jīng)過(guò)全面審核的瀏覽器同時(shí)也是一種“信任錨”，可以用來(lái)驗(yàn)證網(wǎng)絡(luò)服務(wù)的真實(shí)性。這些網(wǎng)絡(luò)服務(wù)本身也可能包含秘密的監(jiān)控代碼。

Eich在博文里指，“安全從來(lái)不是‘完成時(shí)’。安全是一個(gè)過(guò)程，而不是一個(gè)最終的靜止?fàn)顟B(tài)。沒(méi)有什么萬(wàn)能之策。任何方法都有其局限性。但是，開(kāi)源軟件顯然優(yōu)于非開(kāi)源軟件，開(kāi)源軟件具有可審性，提供了審核比較源碼和可運(yùn)行程序的可能，而非開(kāi)源軟件則缺乏可審性。”