刀枪Blue

来源: BlogBus 原始链接: http://www.blogbus.com:80/blogbus/blog/diary.php?diaryid=137421 存档链接: https://web.archive.org/web/20040624200506id_/http://www.blogbus.com:80/blogbus/blog/diary.php?diaryid=137421 作者: zhouxiaohu

刀枪Blue 苦中作乐笑中有泪 <<<Growing with Gentoo | 首页 | Re:Re:来自Green Hills的Linux批评声>>> 2004-04-12 19:52 前天根据新闻记了一篇 来自Green Hills的Linux批评声 ，今天看到好多地方都在讨论这个新闻了－－Green Hills毕竟是有影响力的企业。在AlterSlash上有一条 Embedded RTOS Maker Raises Linux Security Issues 讨论了这个话题。 发了言的参与者说出了一些不太为常人所知的事实。有一位曾经是国防承包商的老兄说了，在国防部内，每行代码都会被一个审阅小组（通常4到5人）人工审阅。他们发现的缺陷都会被记录在案，错误纠正后的验证也有记录，这只是第一轮的开发过程。此后会进入苛刻的测试阶段，规格说明，应用场景，压力测试一个不落。测试中发现的缺陷同样会记录，在被修补之前，软件不会投入使用。光修正bug的工作通常都会花费2~4年。 显然美国人采用了主动出击的方式保障软件安全，而不是被动的坐等厂商宣传或抱侥幸心里，从这一点来看，使用Linux还是使用其他OS是没有本质差别的。在这样的情况下，显然不能指责Linux危害着任何人的安全利益。 另一位美国国防部项目的系统管理员（这下好，Green Hills放炮把内线人物都引出来了）说，按国防部的现行做法，任何用在任务关键系统上的软件，要么是他们自己开发，要么经过非常彻底的审查。他们的雇员要进行一整套的code review，bug修正和测试－－这位仁兄说，这也是国防部项目经常超期超预算的重要原因之一。 对那些采购的商业软件－－比如Green Hills的产品－－国防部的程序员们当然也会再测试（纵然商业软件已经经过厂家的测试，乃至第三方的测试），如果发现问题会要求供应商修改。有时候，如果出现特殊问题，厂家不太可能为其专门定制修改，那国防部也会和厂家签个NDA，然后获得源码，自己开干。当然，为了其他一些原因，比如防止后门，木马或者某个不满意的雇员恶意放入软件中的坏东西，国防部也有可能搞来代码自己瞧瞧。 而开放源码软件让国防部能按自己期望的方式使系统更安全了，其中的灵活性更高了。对开源软件，他们同样会查找后门这些的，甚至开发自己的分支。一旦国防部有了自己可信赖版本的Linux，他们就会内部使用。这位仁兄推测大多数国防部程序员们测试的Linux是美国国家安全局NSA的版本。 圈内人现身说法，这下该有说服力了，在防务应用中的安全保障，其实最关键的还是掏钱的买主，和采用的是Linux还是其他操作系统无关，甚至Linux在灵活性上有更大的优势。Green Hills大老板的言论确实危言耸听了。 那对于其他应用呢，个人或者中小规模的商业机构肯定担负不起自己确保安全所付出的代价，我想这就是开放源代码产业环境的一部分－－可以有专门的公司做这种工作，以商业机构的信誉和法律保障提供安全方面的服务，比如出售自己的安全发行版，或者帮用户进行其产品的独立认证工作，或提供咨询等，产业链就是这么慢慢形成的。虽然这其中的商业模式还不是很明朗，不过我对开放源码软件的商业前景抱不小希望，总的有人摸索，有人尝试吧；）。 zhou @ 2004-04-12 19:52 返回页首 | 评论 | 引用(0) 评论 发表评论 最新文章 iPod Your BMW Google 中文推出新服务 Apple - Eclipse MyIE2 1.0 河灯 G-Mailto The Design and Implementation of the 4.4BSD Operating System GMail & GTray Steve Ballmer 访问 The History of Programming Languages Links 弱水三千 阿巧 蜻蜓的世界 双子的空间 心的方向 carol 一头熊的碎碎念 小鸡芝芝 isaacmao TOPKU cnblog心得集 Gizmodo Weblogsinc Kuro5hin Engadget AlterSlash Vivisimo CleverCS DeskCity