走出誤區(qū)，正確認(rèn)識(shí)開(kāi)源

■

我們來(lái)看看以下四種常見(jiàn)的開(kāi)源誤區(qū)：

1.開(kāi)源還不能企業(yè)部署？

這種誤解跟上文提到的如出一轍： 即開(kāi)源=社區(qū)和業(yè)余愛(ài)好者，因此有人認(rèn)為開(kāi)源只適用于這些群體。

然而，事實(shí)完全相反。全球越來(lái)越多的企業(yè)采用開(kāi)源技術(shù)。更多的技術(shù)專家參與審查代碼的安全漏洞，開(kāi)源技術(shù)的價(jià)值和安全性已在實(shí)踐中被證明，這進(jìn)一步推翻了人們對(duì)開(kāi)源的誤解。

Coverity產(chǎn)品高級(jí)總監(jiān)Zach Samocha表示：“充分經(jīng)過(guò)開(kāi)發(fā)測(cè)試的開(kāi)源軟件項(xiàng)目，總是持續(xù)在提升軟件質(zhì)量，乃至于整個(gè)行業(yè)的標(biāo)準(zhǔn)?！?/p>

2.開(kāi)源不夠安全？

第一種誤解也引發(fā)了另一種說(shuō)法，即開(kāi)源中“古老而優(yōu)秀”的部分并不安全。首先，我們來(lái)看一下封閉式平臺(tái)或?qū)Ｓ衅脚_(tái)是怎么運(yùn)作安全補(bǔ)丁的：安全漏洞必須由有權(quán)訪問(wèn)源代碼的人員識(shí)別（通常只是供應(yīng)商），這首先就要耗費(fèi)大量時(shí)間。隨后，他們必須對(duì)修復(fù)補(bǔ)丁進(jìn)行編碼、測(cè)試并交付使用，這就再次延遲了修復(fù)時(shí)間。

相反，再看看基于標(biāo)準(zhǔn)且開(kāi)放的開(kāi)發(fā)模式：它有助于快速識(shí)別潛在的安全漏洞。舉個(gè)例子，在2014年，常用的OpenSSL加密軟件庫(kù)發(fā)現(xiàn)了Heartbleed。已經(jīng)訂閱紅帽軟件的客戶都在第一時(shí)間收到了紅帽安全響應(yīng)團(tuán)隊(duì)的即時(shí)回應(yīng)。隨即，該部門進(jìn)行了后續(xù)漏洞測(cè)試、打補(bǔ)丁和安全修復(fù)等工作，以確?？蛻羰冀K處在安全的網(wǎng)絡(luò)環(huán)境中。

紅帽公司總裁兼CEO Jim Whitehurst在一次采訪中表示：“在Heartbleed發(fā)生時(shí)，每個(gè)人都收到通知，同時(shí)紅帽在第一時(shí)間做出了響應(yīng)。在紅帽，我們有專門的安全響應(yīng)團(tuán)隊(duì)，來(lái)迅速、專注處理這類問(wèn)題。”

3.開(kāi)源沒(méi)有技術(shù)支持？

企業(yè)采用的開(kāi)源軟件幾乎都不會(huì)是免費(fèi)、且沒(méi)有支持的社區(qū)版本。雖然開(kāi)源軟件通常誕生于社區(qū)開(kāi)源項(xiàng)目（尤其是對(duì)于非關(guān)鍵任務(wù)環(huán)境的研發(fā)或測(cè)試），但大多數(shù)企業(yè)在開(kāi)展關(guān)鍵任務(wù)部署時(shí)，只考慮有供應(yīng)商提供支持的企業(yè)級(jí)版本。

這意味著，紅帽客戶不僅會(huì)得到更多、更好的維護(hù)和支持，還能與世界一流的工程技術(shù)團(tuán)隊(duì)溝通與合作，并且享受由紅帽合作伙伴、客戶和強(qiáng)大的開(kāi)源社區(qū)構(gòu)成的巨大生態(tài)系統(tǒng)帶來(lái)的深遠(yuǎn)價(jià)值。

“開(kāi)源軟件的確為安全研究人員帶來(lái)了很多好處——因?yàn)殚_(kāi)源的基因使得各種類型的研發(fā)人員能夠在同一平臺(tái)上進(jìn)行協(xié)作。比如說(shuō)，一位在空閑時(shí)間參與開(kāi)源研發(fā)項(xiàng)目的童鞋會(huì)分享給大家他無(wú)意中發(fā)現(xiàn)并順手修復(fù)了的漏洞——顯而易見(jiàn)，開(kāi)源軟件確實(shí)具有很明顯的優(yōu)勢(shì)。”《彭博商業(yè)周刊》的Jordan Robertson說(shuō)道。