1月9日,在CSDN网站首页发布消息,题为“开源代码有质量缺陷,每一千行暴安全漏洞”,称“流行的开源项目......他们均含有许许多多的安全漏洞和质量缺陷”。既然开源软件“每一千行暴安全漏洞”,那么,整个开源软件的安全性岂不成了一个大问题?但是,事实上,事情是怎样的呢?
事情是这样的。2006年3月,美国“国家安全局”(“Department of Homeland Security”)给Coverity公司一个30万美元的研究合同,要求Coverity公司“仔细检查”(“review”)180个开源项目的源代码,这些开源项目经常被一些政府部门网站和应用项目的开发者(们)所采用。很显然,该项目是有政府背景的。Coverity公司是所谓“源代码检查系统”的制造者,他们运用特定发专业工具对程序代码集进行“扫描”,以便发现其中存在的安全隐患(或是程序缺陷),从而加强(tighten up)其安全性。毫无疑问,这项研究具有很大的实际意义,得到了世界广大开源社区的积极支持和配合。
Coverity的“review”(“检查”)确实厉害,它的专业“扫描”工具(系统),如同“火眼金睛”,能够“明察秋毫”,抓程序缺陷(defects或程序bugs),可谓“滴水不漏”。自从该“review”项目开始之后,全球开源社区(有关项目组)立即行动起来,积极与其配合,快速予以“响应”,在180个开源项目中,总共修复了7,826个“程序缺陷”(defects),有一些(很小部分)程序缺陷的修改或性质鉴定工作至今仍然在进行中。
Coverity公司根据对其“私密客户”400多条产品线进行“委托扫描”的实际情况,其开源策略师David Maxwell说,“如果我们把他们代码中的缺陷让别人知道(aired),我们的商业客户会很不高兴的”。不过,他认为,在这一方面,开源代码,很象(much like)商业对应物(Counterpart),在其源代码中间都存在程序缺陷。经过Coverity的这一“review”,坏事变好事,开源软件变得更加强大,越加可信了。从此,开源软件的安全性有了见证人--Coverity公司。一切开源软件的诋毁者,该去休息了(指歇一歇,不是去死,闭眼了事)。