【IT168 评论】人们问：开源软件安全吗?特别在国防、政府等要害部门应用时，以及在金融、电信行业等具有“关键任务(MissionCritical)”高端应用时，人们关注开源软件的安全性问题。

　　近日，友人给我一份美国开源人士为奥巴马政府起草的“白皮书”，对开源软件的安全性问题作了概述，很有意思，谨摘引如下与大家分享：

　　“开源软件是最重要的、全面的、长期的趋势”

　　“目前美国联邦政府使用的所有平台都有开源产品”

　　(开源促进会OSI主席MichaelTiemann也指出：开放标准、开源理念、开源解决方案将成为各国政府在实施几乎所有政务上的潜在优势)

　　“在过去十年里，开源软件在美国军队和情报部门得到广泛应用，这主要取决于它的安全优势”

　　“最近美国国家安全局(NSA)证实：发现开放源代码在网络安全方面优于私有代码”

　　“与私有软件相比开源软件更加安全”

　　“有证据显示，从操作系统到中间件，到数据库，到浏览器以及Java等，比之私有软件产品，开源软件产品在其生命周期里面临更少的安全问题”

　　什么原因呢?“白皮书”中谈到：

　　(1) 在开源代码中不留“后门”(不隐藏秘密)

　　“白皮书”阐述：“开源软件的源代码是公开的，公众可以揭开代码的信息，可以保证在代码中没有隐藏的或没有可能挖掘的秘密，而私有软件却不能保证这一点。”

　　(2) 开源软件比私有软件“漏洞(Vulnerability)”少

　　“白皮书”引用美国国家漏洞数据库(NVD，National VulnerabilityDatabase)统计数据显示：“开源软件产品比私有软件产品漏洞要少得多”。(有人可能会说，目前开源软件比某些私有软件应用的数量少，所以遭受黑客攻击的概率较小或发现的“漏洞”也较少，我赞成这种说法，有一定道理，但我认为，正如白皮书所说：“开源软件的源代码是公开的，公众可以揭开代码的信息”，“全球有数百万个开发者都在做开源项目”，他们不断对开源软件产品进行“检错、纠错，打补丁、修正(BugFix，Patch)”，这种做法是导致开源软件产品“漏洞”要少得多的主要原因)。

　　(3) 开源软件的安全管理是独立的，不在代码中

　　“白皮书”阐述：“开源软件产品的开放性意味着安全秘密不在代码中，它必须在代码外进行管理”。

　　(我认为，这条保障或提升安全的措施，可解除人们对具有公开性的开源软件不安全的担心;同时也表明，本条措施，开源软件可做，私有软件也可做，因此光凭本条，不能比较两种不同类型的软件的安全性谁高谁低;但综合上述三条，完全可以认为开源软件更安全)。

　　我曾介绍今年5月12日《华盛顿时报》刊登的一篇署名文章《中国阻止美国发动网络战争》，文中谈到我国开发的开源的麒麟(Kylin)操作系统，从2007年开始在国防网络上服役以来，阻止了以往有人通过网络脆弱环节(即“后门”)进行信息渗透，保障了网络的安全。

　　关于金融行业配置的服务器，以IBM服务器X、P、I、Z系统为例，X是低端系统，可配置Linux或Windows操作系统(在国内使用较多);P、I是中端系统，其中P系统可配置AIX(Unix)或Linux操作系统，I系统可配置IOS(专用系统)或Linux操作系统;Z(主机)是高端系统，可配置ZOS(专用系统)或Linux操作系统(在美、欧、日使用较多)。去年国内CNNIC订购一套Z系统，配Novell的Linux(SuSE)操作系统，今年上海公安部门订购一套Z系统，配RedHat的Linux操作系统;国内各大银行出于对安全的担心，他们较为保守，至今尚未订购配Linux的Z系统。Linux是一种类Unix的多用户环境的操作系统，近年来Unix或专用系统向Linux迁移已成为一种趋势，据SaugatuckTech.报告，到今年底，约25%的企业的“关键任务(MissonCritical)系统”将在Linux平台上运行，而到2011年度该比率将提升到48%。所谓“关键任务系统”的应用，是指高端服务器的核心应用，如银行的支付系统、电信的计费系统、商业的交易系统、大企业的ERP系统等。在这些应用场合，对操作系统安全性的要求是很高的，国内外的应用实例都说明，Linux是能满足其安全性要求的。

　　国内金融界的一些主管曾对采用Linux的安全性表示担心，我看是没有必要的，但确实要向他们做好技术交底，技术准备和服务到位的工作。

　　电信和金融等行业在要求产品高度安全性的同时，还要求高可靠性或高可利用率，如电信的高可利用率(high Availability)要求达到99.999%(一年宕机时间不超过5.26分钟)。其实高可靠性和高可利用率也是高安全性的一部分。

　　2004年，我们曾支持为联通公司的天津短信网关配置电信级Linux(CGL-3.0)操作系统(由Montavista和中兴通讯负责提供)，能满足高安全性和高可利用率的要求，至今运行正常。

　　国内中标软件、北京拓林思、中科红旗等企业，几年来向中国建设银行、中国工商银行、国家邮政(含邮储银行)提供约4-5万套Linux系统(最长运行已有5-6年)，但多数是低端的前置系统，要承接高端核心应用还有待提高。为国外银行高端核心业务配套的Linux系统多数是RedHat提供的，Novell也提供相当部分，Cannonical(Ubuntu)是后起之秀。

　　“白皮书”指出：‘云计算环境应该具有开放的标准界面”，这表明：云计算的开放性，不会降低只会增强云安全;“白皮书”还指出：“这样，政府就不会局限于一个云计算解决方案或某一个供应商，”这又表明：采取这种措施完全有利于提高云安全。