早在1999年,ESR(Eric Raymond)就发明了“Linus' Law”这一术语,该法规则,只需有满足的眼睛,一切的 bug 都很简单发现。
为了留念Linux创建者Linus Torvalds而命名的Linus' Law,近二十年来被一些人用作解说为什么开源软件应该具有更好安全性的学说。近年来,开源项目和代码阅历了多个安全问题,但这是否意味着Linus' Law无效了呢?
依据VMware的副总裁兼首席开源官Dirk Hohndel的说法, Linus' Law依然有用,但是有更大的软件开发问题影响开源以及具有平等或更重要性的关闭源代码。
“我以为,在每种开展形式中,安全始终是一项应战,”Hohndel说。
Hohndel表明,开发人员通常会遭到立异的鼓动,并考虑怎么让某些东西发挥作用,而安全性并不总是他们应该优先考虑的问题。
“我以为安全不是咱们应该将其视为开源与关闭源代码的概念,而是作为一个职业。”Hohndel说。
在Hohndel看来,关键问题不是关于软件开发模型,而在于要有一个使软件更有弹性的架构规划。特别是关于VMware,他说该公司花了许多时刻研讨攻击面。例如,运用PKS(Pivotal Container Service)(Kubernetes容器业务流程分发),中心组件是VMware NSX。经过NSX,Hohndel表明,一安排能够切割网络,然后削减攻击面。
Hohndel表明,许多眼睛使一切的 bug 都很简单发现,这种主意只要在有多个眼睛时才有用。在Hohndel看来,Linux内核开发进程是一个开源项目的一个很好的比如,它的确能够履行正确的代码检查。
Hohndel说:“关于任何软件产品来说,最大的应战之一,不管是开源的仍是开源的,就是找到满足多的合格的评定员,保证你不会被立异的速度所压倒,而且你会花时刻去做真实的代码评定。”
作者:刘遄
