对于一直困扰着商业软件和开源软件的某些安全问题,安全专家Jonathan Yarden进行了相关的调查。
在网络和信息安全方面有一个非常有趣的内容,那就是预测一个黑客需要花费多长的时间才能够突破或者进入到一套自认为安全的系统或者程序中。我以前曾经说过,现在我再说一遍:除了极少数的几个例外以外,所有的软件都有漏洞。
这些漏洞的存在将会给你带来怎样的安全威胁,取决于该软件本身,以及是否会有入侵者会积极主动的试图利用这些漏洞来攻击你的软件或者系统。在这里,我之所以选择使用“入侵者”这个词,而不是“黑客”,是因为最近一段时间以来,与人类相比,蠕虫和病毒更喜欢去寻找和攻击那些有漏洞的系统。(这并不是说,黑客就不会攻击系统。与媒体所报道的情况相比,类似于T-Mobile这样的黑客事件,在现实生活中其实更加普遍。)
对于那些对技术细节并不是很熟悉的公司和用户来说,他们并没有认识到,商业软件所依赖的所谓的“安全性”其实更多的是臆想和希望,而不是现实。现在的软件市场极度依赖于所谓的“独立”测试和认证,但实际上,付钱资助那些进行软件测试和认证的机构的人同时就是这些软件公司。
另外,会有软件公司在宣传它们的产品的时候,说自己的产品“在某种程度上安全”或者“极有可能安全”吗?虽然实际上这样的语句更加接近事实。
有些人,包括我自己在内,会对软件漏洞的修补成本进行预估。其实让商业软件中存在的漏洞数量减少一半所花费的成本将会远远超过该产品在其整个生命周期内所创造的收入的总和。当然,公司可以通过大幅提升其产品的价格来弥补在这一方面所增加的成本。但是,商业软件与开源软件的竞争已经达到了一个相当激烈的程度,更何况价格的提升更加不可能为其带来任何的新客户。
现在我之所以如此猛烈的抨击商业软件公司,其主要原因之一,就是因为在开源软件对其业务构成足够的威胁之前,商业软件公司都从来没有向用户和公众告知它们的产品在安全性与可靠性方面所存在的隐患。
无论是对于商业软件,还是对于开源软件,我都具有25年以上的使用经验。我必须要诚实的说,在安全性与可靠性方面,商业软件已经远远落后于开源软件。更何况,开源软件在价格上具有无可比拟的竞争优势。
虽然许多的商业软件公司都在宣传自己产品的安全性,但是在安全性方面,开源软件真的具有无法比拟的竞争优势。因为它们是在全球进行使用和开发,因此开源软件总是能够站在安全性的最前沿。我信任开源软件,因为我知道其他许多人所看到的代码都和我所看到的一样。
有一点很重要,我们需要牢牢记住,那就是安全性并不简单,而且也不是绝对的。开发一套安全的软件,是一件昂贵、困难、繁琐,而且耗时巨大的工程。
要想与开源软件展开有效的竞争,这就要求商业软件公司必须要能够提供一套安全的产品,而且其性能还要优于免费的同类型软件。只有时间能够告诉我们,商业软件公司是否能够集中精力完成这一任务。
不过,在这一天到来之前,在开源软件和商业软件之间,我还是宁可选择使用开源软件。这种软件真的更安全,我知道这一点,因为我亲眼看到了这些软件的源代码。