刀枪Blue
来源: BlogBus 原始链接: http://www.blogbus.com:80/blogbus/blog/diary.php?diaryid=134532 存档链接: https://web.archive.org/web/20040520043112id_/http://www.blogbus.com:80/blogbus/blog/diary.php?diaryid=134532 作者: zhouxiaohu
2004-04-10 18:01 Green Hills一直是一家偶很崇敬乃至崇拜的公司,没办法,人家在RTOS领域的实力摆在那,有实在东西撑腰。1982年到现在,这家公司一直很专注,20多年了,产品线一直没有暴扩(不像WindRiver那些家伙),所以现在在深嵌入和高可靠方面具备十分深厚的功底。扫一下产品介绍就看的到,这两年美军的很多装备都采购到他头上,所以他也是今年提升最快的公司--相比WindRiver就惨多咯,不知道是不是衰得没办法,最近WindRiver也搭上Linux,可能像拣点便宜。 前天GHS发布一篇新闻稿,是其CEO Dan O'Dowd在Net-Centric Operations Industry Forum上的演讲,题目是 Using Linux Software in Defense Systems Violates Every Principle of Security Says 。 O'Dowd的意见是,Linux在美国国防和安全机构的快速发展,已经对国家安全形成了严重而迫切的威胁。他认为开放源码的开发方式在本质上就该被排除在防务系统应用之外。开放源码破坏了每一条和安全有关的原则。每个人都能对Linux贡献源码,那国外情报机构和恐怖分子当然也可以,而这些代码被带入国防系统后,后果不堪设想。 MontaVista现在已经有了两个海外研发,分别在莫斯科和北京(噫?北京有吗?我又孤陋寡闻了:( )。LynuxWorks在莫斯科也有一个机构。O'Dowd认为在这两个冷战时美国最大的对手国家里开发的软件不会带来什么好处--好像是个冷战顽固分子。 最近一次历时2周的调查显示,美国国防部已经有251个Linux或者开源软件部署。Linux还被选为功能,安全和通信关键设备的基础,包括Combat System,the Joint Tactical Radio System 和 Global Information Grid。O'Dowd 认为如果Linux玩完,这些重要的国防项目也就玩完了。无时无刻,来自俄罗斯,中国和其他地方的代码都在加入Linux,无时无刻,这些代码也就正在进入美国的命令,控制,通信和武器系统,“这种状况必须停止”。 我得说,O'Dowd关于关键系统的态度没错,实打实的说,无论是谁都得这样啊。不过关于Linux开源开发过程的观点太偏激了,而且故意夸大了事实,说得危言耸听,如果分析Linux在那些项目中的应用,就会发现那些危险可能根本就不存在。把咱国家说的像干偷鸡摸狗那种事的人,来自中国或者俄罗斯的软件就一定是干坏事的吗?开放源代码除了允许任何人加入外,你觉得不合适也可以检查任何你不信任的代码嘛。 O'Dowd坚持认为Linux是典型的特洛依木马,免费的软件礼物,没有经过安全检查就进入关键系统。Linux支持者的传统观点是,Linux的安全性会因为其开放型而获得保障。这就是Linus著名的'many eyes' 原则,有越多的眼睛盯着,就越能发现Linux中的漏洞。不过Ken Thompson,UNIX最初的编写者,大师和传奇人物,已经说过他的故事,在当初UNIX的二进制代码上,他都安了个后门,自动增加他的用户名和密码。早年UNIX是带源码发放的,但是从来没有人发现过,14年后,是Ken自己说的。虽然这是Ken的玩笑,不过很能说明问题。这点我是同意的。开放源码和封闭源码在安全性上没有什么优劣,many eyes原则只是基于一厢情愿的假设,建立在乌托邦而不是现实考虑的基础上。Ken自己说过,永远别相信不是自己写的代码,在源代码级进行认认真真仔仔细细的验证和分析才能保护自己。 诚然,Ken的论断没有帮Linux的忙,不过我们也不能忘了Linux因为灵活和开放带来的安全优势,封闭源代码产品可以进行的验证和认证工作,开放源代码产品难道就不行吗?其次,我想咱们要做的是看清问题的关键,Linux系统是否可用要用事实来决定,何况不同应用场合下应该适用不同准则,消费市场不能使用关键系统的原则,关键系统当然不能像消费市场那样放松。Linux产业其实包含了相当多的内容,不光只是一群只知道编写代码的程序员组成,当产业链发展成熟,各个环节都有合适称职的角色的时候,Linux在安全方面的表现一定会无懈可击。 zhou @ 2004-04-10 18:01 返回页首 | 评论 | 引用(0) 评论