開源軟件一直被視為替代專有軟件的一個靈活、低成本和安全的方案：它獨(dú)立于平臺，由許多的成員開發(fā)和維護(hù)，并提供價格合理的授權(quán)，甚至是可以完全免費(fèi)地使用。不同于Windows系統(tǒng)之類的專有軟件，開源軟件不太容易出現(xiàn)類似美國國家安全局可以訪問IT系統(tǒng)而不被發(fā)現(xiàn)的后門。類似的隱藏漏洞或者編程錯誤，能夠通過檢測和雙人監(jiān)控原則迅速地被發(fā)現(xiàn)并加以補(bǔ)救。然而，近期OpenSSL加密軟件代碼中的Heartbleed漏洞并沒有被發(fā)現(xiàn)，這一漏洞雖然極其微小，但卻影響了全球約三分之二的服務(wù)器，對于互聯(lián)網(wǎng)的數(shù)據(jù)安全有災(zāi)難性的影響，同時也使全世界開始質(zhì)疑開源軟件的安全性。

不過，IT專家彼得·霍夫曼認(rèn)為，開源軟件還是很安全的。并以他大約10年前在慕尼黑市議會介紹的Linux開源操作系統(tǒng)LiMux為例，進(jìn)一步地進(jìn)行了說明：“LiMux通過一個穩(wěn)定的團(tuán)隊開發(fā)維護(hù)，除了定期發(fā)布補(bǔ)丁之外，在出現(xiàn)大問題或者重要的更新時，我們還將與外部的服務(wù)提供商一起提供技術(shù)支持。”對于OpenSSL出現(xiàn)的問題，彼得·霍夫曼認(rèn)為OpenSSL的情況完全不同，OpenSSL的8名正式員工中，目前僅有3位全職員工，大部分員工都是志愿者，他們有自己的本職工作，參與OpenSSL的開發(fā)只因認(rèn)同開源文化或者純粹為了編程的樂趣。而OpenSSL項目的資金完全依靠捐款，一年獲得的資助僅有大約2 000美元。OpenSSL軟件基金會主席史蒂夫·馬克斯在他的博客中用“既不現(xiàn)實(shí)、也不恰當(dāng)”描述了OpenSSL目前的狀況，他呼吁企業(yè)和政府不要把使用OpenSSL作為理所當(dāng)然的事，應(yīng)該為OpenSSL做一些事。他的呼吁得到了積極的回應(yīng)，除了羅永浩直接向OpenSSL項目捐助100萬元人民幣以外，Google、Facebook和Amazon也準(zhǔn)備捐助支持Linux基金會推動開源項目的新舉措。任何軟件，無論是開源的還是專有的，只要是好項目都可以向該基金會融資。

信息

開源項目的隱患

Firefox

2010年，Windows版本的Firefox瀏覽器出現(xiàn)了一個零日漏洞（急性和危險的未修補(bǔ)安全漏洞），攻擊者可以完全控制系統(tǒng)。

Apache

2013年，數(shù)以萬計采用Apache的Web服務(wù)器感染了Darkleech木馬，該木馬將在服務(wù)器頁面上嵌入惡意代碼，對瀏覽頁面的用戶進(jìn)行攻擊或轉(zhuǎn)向其他惡意站點(diǎn)。

MySQL

2012年，數(shù)據(jù)庫服務(wù)器軟件MySQL出現(xiàn)身份驗(yàn)證漏洞，導(dǎo)致互聯(lián)網(wǎng)犯罪分子盜取包括Flickr、YouTube、Google、Facebook和Twitter等許多服務(wù)商的用戶密碼和配置文件。

OpenID

2014年，第三方登錄協(xié)議服務(wù)供應(yīng)商OpenID出現(xiàn)了一個安全漏洞，通過它黑客可以訪問用戶的機(jī)密數(shù)據(jù)。Google、Facebook、微軟和PayPal等Web服務(wù)均受到影響。endprint