走出誤區(qū)，正確認(rèn)識開源

■

我們來看看以下四種常見的開源誤區(qū)：

1.開源還不能企業(yè)部署？

這種誤解跟上文提到的如出一轍： 即開源=社區(qū)和業(yè)余愛好者，因此有人認(rèn)為開源只適用于這些群體。

然而，事實(shí)完全相反。全球越來越多的企業(yè)采用開源技術(shù)。更多的技術(shù)專家參與審查代碼的安全漏洞，開源技術(shù)的價值和安全性已在實(shí)踐中被證明，這進(jìn)一步推翻了人們對開源的誤解。

Coverity產(chǎn)品高級總監(jiān)Zach Samocha表示：“充分經(jīng)過開發(fā)測試的開源軟件項(xiàng)目，總是持續(xù)在提升軟件質(zhì)量，乃至于整個行業(yè)的標(biāo)準(zhǔn)?！?/p>

2.開源不夠安全？

第一種誤解也引發(fā)了另一種說法，即開源中“古老而優(yōu)秀”的部分并不安全。首先，我們來看一下封閉式平臺或?qū)Ｓ衅脚_是怎么運(yùn)作安全補(bǔ)丁的：安全漏洞必須由有權(quán)訪問源代碼的人員識別（通常只是供應(yīng)商），這首先就要耗費(fèi)大量時間。隨后，他們必須對修復(fù)補(bǔ)丁進(jìn)行編碼、測試并交付使用，這就再次延遲了修復(fù)時間。

相反，再看看基于標(biāo)準(zhǔn)且開放的開發(fā)模式：它有助于快速識別潛在的安全漏洞。舉個例子，在2014年，常用的OpenSSL加密軟件庫發(fā)現(xiàn)了Heartbleed。已經(jīng)訂閱紅帽軟件的客戶都在第一時間收到了紅帽安全響應(yīng)團(tuán)隊(duì)的即時回應(yīng)。隨即，該部門進(jìn)行了后續(xù)漏洞測試、打補(bǔ)丁和安全修復(fù)等工作，以確?？蛻羰冀K處在安全的網(wǎng)絡(luò)環(huán)境中。

紅帽公司總裁兼CEO Jim Whitehurst在一次采訪中表示：“在Heartbleed發(fā)生時，每個人都收到通知，同時紅帽在第一時間做出了響應(yīng)。在紅帽，我們有專門的安全響應(yīng)團(tuán)隊(duì)，來迅速、專注處理這類問題?！?/p>

3.開源沒有技術(shù)支持？

企業(yè)采用的開源軟件幾乎都不會是免費(fèi)、且沒有支持的社區(qū)版本。雖然開源軟件通常誕生于社區(qū)開源項(xiàng)目（尤其是對于非關(guān)鍵任務(wù)環(huán)境的研發(fā)或測試），但大多數(shù)企業(yè)在開展關(guān)鍵任務(wù)部署時，只考慮有供應(yīng)商提供支持的企業(yè)級版本。

這意味著，紅帽客戶不僅會得到更多、更好的維護(hù)和支持，還能與世界一流的工程技術(shù)團(tuán)隊(duì)溝通與合作，并且享受由紅帽合作伙伴、客戶和強(qiáng)大的開源社區(qū)構(gòu)成的巨大生態(tài)系統(tǒng)帶來的深遠(yuǎn)價值。

“開源軟件的確為安全研究人員帶來了很多好處——因?yàn)殚_源的基因使得各種類型的研發(fā)人員能夠在同一平臺上進(jìn)行協(xié)作。比如說，一位在空閑時間參與開源研發(fā)項(xiàng)目的童鞋會分享給大家他無意中發(fā)現(xiàn)并順手修復(fù)了的漏洞——顯而易見，開源軟件確實(shí)具有很明顯的優(yōu)勢?！薄杜聿┥虡I(yè)周刊》的Jordan Robertson說道。