Jeep 黑客和大眾汽車排放丑聞這樣的汽車軟件問題成為了今年的頭條，表明公眾開始重視之前從未考慮過的汽車軟件安全問題了。一些專家認(rèn)為強(qiáng)制要求某些軟件開源是解決問題的一個好辦法。盡管如此可以讓軟件被公眾監(jiān)督，但開放代碼這個事情本身卻不能給你帶來保障。就像 Sam Liles 最近發(fā)給我的郵件所說的一樣，開源并不能夠阻止破殼漏洞ShellShock的出現(xiàn) 。

Liles 博士曾是普渡大學(xué)網(wǎng)絡(luò)取證專業(yè)的教授。在那時，他和他的學(xué)生研究汽車以及其他物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全問題。他說，多層防御已經(jīng)接近死亡，換言之我們不能再依賴于多弄幾層的安全保護(hù)了。我們的手機(jī)和其他個人設(shè)備可能泄露我們正在做的事情，例如：我們?nèi)チ四膬?，我們正在和誰交流，或其他更加隱私的活動等。這些設(shè)備和它們所包含的信息，存在于我們的私人和工作網(wǎng)絡(luò)中。顯然一個被入侵的手機(jī)可能被利用，入侵者可以訪問其發(fā)現(xiàn)的所有信息，甚至把病毒傳播給與它相連接的所有電子設(shè)備。

單就這些設(shè)備的數(shù)量本身就是一個巨大挑戰(zhàn)。Liles 提出一些問題：“誰來做這個級別的事件響應(yīng)？”更重要的是，誰來審核所有的代碼？ Eric S. Raymond 在《大教堂與集市》中寫道，“只要有足夠多的眼睛，所有的問題都將不是問題，” 此稱之為林納斯定律。但我們不能僅僅只依賴于足夠多的眼睛來發(fā)現(xiàn)問題。假 如像 OpenSSL 這樣重大的項(xiàng)目都會由于缺少資金而導(dǎo)致 Heartbleed 這類漏洞的話，那么誰來檢查這些我們每天都用到的數(shù)以百萬行代碼的軟件呢？

[[155018]]

開源的代碼就真的絕對安全？

雖然 2011 年美國航空航天局和國家公路交通安全管理局做的關(guān)于豐田汽車意外加速事件的調(diào)查表明：“沒有證據(jù)證明電子故障是導(dǎo)致大量意外加速的原因”，但是其他研究人員已經(jīng)確定汽車可以通過軟件來加速。IOActive 報告中寫道：“如果電源管理 ECU 被破壞，我們將能夠很容易的改變速度，這個時候汽車是非常不安全的”。顯然，軟件已經(jīng)是現(xiàn)代汽車安全的重要組成部分之一。

然而，與 Liles 團(tuán)隊(duì)做類似研究的仍然很少。單純分析軟件是非常困難的。Liles 認(rèn)為：“計(jì)算機(jī)取證模塊幾乎很少被內(nèi)置到系統(tǒng)中，但是為了使證據(jù)具有法律效力，往往需要借助逆向工程。”此外，物聯(lián)網(wǎng)設(shè)備所帶來的威脅需要從研究方式上進(jìn) 行根本解決。解決掉一些舊的信息保障，安全體系學(xué)說，基于神學(xué)、半真理性的，過時的技術(shù)理論等。

那么，到底要不要將開源思想融入進(jìn)去呢？不管代碼是否開源，一些意外的錯誤仍然存在。心臟滴血（Heartbleed） , 破殼漏洞（ShellShock）等 漏洞的存在確實(shí)證實(shí)了許多開源軟件同樣存在一定的漏洞。有些人為的錯誤在開源代碼中有著更加巨大的風(fēng)險。開源在某種程度只是給我們提供了一種監(jiān)管方式，我 們可以方便的查看、檢驗(yàn)源代碼實(shí)際的運(yùn)作情況。當(dāng)汽車成為開放的系統(tǒng)并與我們的電話，互聯(lián)網(wǎng)相連之后，這其中的安全問題也變得愈加突出。

來源：LinuxStory    原文：http://opensource.com/life/15/10/open-source-code-is-not-warranty 作者： Ben Cotton
譯文：http://www.linuxstory.org/httpwww-linuxstory-orgopen-source-code-is-not-a-warranty/ 譯者： ZERO