首页 > xXx69日本 >福斯面对面,当安全,开放并不总是一个美德 - 答:乔·布罗克迈尔
2018
04-16

福斯面对面,当安全,开放并不总是一个美德 - 答:乔·布罗克迈尔


安全性的问题是一直困扰专有和开源软件的支持者一样,只要有一个选择。

由于所有可以看到代码,识别漏洞并修复它们的众多眼睛,是免费和开源软件更安全吗?或者,“隐晦安全”就是保持代码隐藏的方式的安全路线,这是恶意攻击者无法触及的?

波士顿学院教授山姆·兰斯博腾(Sam Ransbotham)在这个由三部分组成的专题讨论系列的第一部分中,从安全角度阐述了“透明度的成本”。

现在,GNOME公关团队主管Joe Brockmeier和Novell的前Novell openSUSE社区经理认为,FOSS是更安全的选择。

LinuxInsider:在软件方面,您如何定义“安全性”?也就是说,根据您的估计,是什么让一个软件比另一个软件更安全呢?

Joe Brockmeier:好的设计;尽可能少的漏洞;当发现漏洞时,项目或供应商会尽快修复这些漏洞。此外,该软件可以完成预期的工作,可以由用户和安全专家进行检查,以验证其运行情况;它正在做它应该做的事 - 而不是 - 它是如何做到的。 LinuxInsider:有人主张通过默默无闻的安全性,而另一些人则认为开放代码能够帮助问题得到更快的修复。你认为哪一边是对的?

Brockmeier:当你在谈论一个程序的来源时,我相信通过默默无闻的安全性是一个笑话。例如,IE被发现有许多可利用的漏洞。这些没有被发现,因为IE的代码是开放的 - 他们是通过其他方式发现的。有动力和有才华的攻击者完全有可能发现软件中的漏洞,而无需访问源代码。但是,缺乏对源代码的访问阻碍了那些希望尽快发现和修复漏洞的人。

当涉及到网络设计,显然是用户名等事情时,默默无闻有一些价值。但是,正如一个例子,微软代码的“晦涩难懂”几乎没有做任何事情来帮助保护软件免受攻击。 LinuxInsider:这似乎是一个给定的软件不安全的一定数量是其广泛采用的功能。既然如此,如果说追求更好安全的人被说服去采取一个不那么有针对性的制度,那么由于受欢迎程度的提高,合乎逻辑的结果会不会变得更加脆弱?这似乎是Firefox发生的事情,例如,在与“不太安全的”Internet Explorer竞争越来越激烈之后。

Brockmeier:我不同意这个前提。是的,更多的用户意味着一个给定的软件可能会受到攻击者的更多关注。请注意,我说“可以”而不是“会”。 Firefox的市场份额徘徊在25%左右,具体取决于谁来衡量,但是有多少成功的漏洞被写入攻击Firefox?

Firefox可能会发出相当数量的安全更新来解决潜在的漏洞,但这与野外漏洞攻击并不相同。在讨论软件安全性时,这是一个相当常见的错误 - 或故意的策略 - 将安全补丁的数量与实际漏洞等同起来。 LinuxInsider:即使Google已经在内部放弃了Windows,显然是出于安全原因。你对这个举动有什么看法?

Brockmeier:如果公司可以这样做,那么放弃Windows并不是一个坏主意,但它不应该是安全策略的唯一组成部分,而且我相信这不是Google唯一的安全措施。 LinuxInsider:奥巴马政府和其他政府已经开始接受开源软件。你认为这是国家安全的问题吗?

Brockmeier:不,一点也不。相反,我认为这是一个积极的步骤。令我感到担忧的是,我们国家的这么多安全依赖于我们无法检查的封闭源码软件。 LinuxInsider:总的来说,当谈到安全性时,你认为开放性是一种美德还是一种 副?

Brockmeier:当您谈论应用程序,操作系统等的源代码时,我认为开放是一种美德。当然,攻击者可以访问源代码 - 但其他人也是如此。任何关心系统安全的人都可以检查代码并找出缺陷。更重要的是,任何人都可以修复这些缺陷,而这对闭源应用程序是不可能的。

作为一个补充的想法,值得注意的是,我们的很多计算和数据正在转向移动设备和“云”,应用程序由第三方托管,依赖于这些第三方的用户不仅提供安全的应用程序,而是在安全性遭到破坏时通知用户。

除非必须,否则公司并没有表现出完全针对安全漏洞的倾向。检查漏洞的代码不仅是不可能的,也不可能确切知道你的数据正在做什么。在谈论他们的个人资料时,这应该吓坏人们。

当谈到安全时,开放并不总是一种美德 - Rebuttals