眾目睽睽下，開源安全性更好嗎？

早在1999年，ESR（Eric Raymond）就創造了「Linus" Law」這一術語，該法規定，只要有足夠的眼睛，所有的 bug 都很容易發現。

為了紀念Linux創建者Linus Torvalds而命名的Linus" Law，近二十年來被一些人用作解釋為什麼開源軟體應該具有更好安全性的學說。近年來，開源項目和代碼經歷了多個安全問題，但這是否意味著Linus" Law無效了呢？

根據VMware的副總裁兼首席開源官Dirk Hohndel的說法， Linus" Law仍然有效，但是有更大的軟體開發問題影響開源以及具有同等或更重要性的封閉源代碼。

「我認為，在每種發展模式中，安全始終是一項挑戰，」Hohndel說。

Hohndel表示，開發人員通常會受到創新的鼓舞，並考慮如何讓某些東西發揮作用，而安全性並不總是他們應該優先考慮的問題。

「我認為安全不是我們應該將其視為開源與封閉源代碼的概念，而是作為一個行業。」Hohndel說。

在Hohndel看來，關鍵問題不是關於軟體開發模型，而在於要有一個使軟體更有彈性的架構設計。特別是對於VMware，他說該公司花了很多時間研究攻擊面。例如，使用PKS（Pivotal Container Service）（Kubernetes容器業務流程分發），核心組件是VMware NSX。通過NSX，Hohndel表示，一組織可以分割網路，從而減少攻擊面。

Hohndel表示，許多眼睛使所有的 bug 都很容易發現，這種想法只有在有多個眼睛時才有效。在Hohndel看來，Linux內核開發過程是一個開源項目的一個很好的例子，它確實可以執行正確的代碼審查。

Hohndel說:「對於任何軟體產品來說，最大的挑戰之一，不管是開源的還是開源的，就是找到足夠多的合格的評審員，確保你不會被創新的速度所壓倒，並且你會花時間去做真正的代碼評審。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！