1月9日，在CSDN网站首页发布消息，题为“开源代码有质量缺陷，每一千行暴安全漏洞”，称“流行的开源项目......他们均含有许许多多的安全漏洞和质量缺陷”。既然开源软件“每一千行暴安全漏洞”，那么，整个开源软件的安全性岂不成了一个大问题？但是，事实上，事情是怎样的呢？

      事情是这样的。2006年3月，美国“国家安全局”（“Department of Homeland Security”）给Coverity公司一个30万美元的研究合同，要求Coverity公司“仔细检查”（“review”）180个开源项目的源代码，这些开源项目经常被一些政府部门网站和应用项目的开发者（们）所采用。很显然，该项目是有政府背景的。Coverity公司是所谓“源代码检查系统”的制造者，他们运用特定发专业工具对程序代码集进行“扫描”，以便发现其中存在的安全隐患（或是程序缺陷），从而加强（tighten up）其安全性。毫无疑问，这项研究具有很大的实际意义，得到了世界广大开源社区的积极支持和配合。

       Coverity的“review”（“检查”）确实厉害，它的专业“扫描”工具（系统），如同“火眼金睛”，能够“明察秋毫”，抓程序缺陷（defects或程序bugs），可谓“滴水不漏”。自从该“review”项目开始之后，全球开源社区（有关项目组）立即行动起来，积极与其配合，快速予以“响应”，在180个开源项目中，总共修复了7,826个“程序缺陷”（defects），有一些（很小部分）程序缺陷的修改或性质鉴定工作至今仍然在进行中。

      Coverity公司根据对其“私密客户”400多条产品线进行“委托扫描”的实际情况，其开源策略师David Maxwell说，“如果我们把他们代码中的缺陷让别人知道（aired），我们的商业客户会很不高兴的”。不过，他认为，在这一方面，开源代码，很象（much like）商业对应物（Counterpart），在其源代码中间都存在程序缺陷。经过Coverity的这一“review”，坏事变好事，开源软件变得更加强大，越加可信了。从此，开源软件的安全性有了见证人－－Coverity公司。一切开源软件的诋毁者，该去休息了（指歇一歇，不是去死，闭眼了事）。

发表于 @ 2008年01月10日 05:28:00|评论(loading...)|编辑