开源软件漏洞频出,所谓的 Linus’s Law 是否已过时? – 开源中国社区

问答

[
登录 |
注册 ]

开源软件漏洞频出,所谓的 Linus’s Law 是否已过时?

王练
2018年07月13日

开源软件漏洞频出,所谓的 Linus’s Law 是否已过时?

王练
王练
发布于2018年07月13日
收藏 3

Linus’s Law,是1999年 Eric Steven Raymond 在他出版的讨论软件工程方法的著名文集《大教堂和市集》中描述的一个观点:

given enough eyeballs, all bugs are shallow。只要有足够多的眼睛,就可让所有问题浮现。

更正式地说是:

只要有足够的单元测试员及共同开发者,所有问题都会在很短时间内被发现,而且能够很容易被解决。

Eric Raymond 以 Linux 之父 Linus Torvalds 的名字来命名该观点,因此被称为“林纳斯定律”,之后被广泛用于解释为什么说开源软件具备更好的安全性。但在过去几年,大量开源软件和项目被曝出存在严重安全漏洞,这是否意味着 Linus’s Law 已过时?

VMware 副总裁兼首席开源官 Dirk Hohndel 在接受外媒采访时表示,Linus’ Law 仍然有效,但有更大的软件开发问题正在影响开源以及闭源代码的安全性。

“我认为,不管是在开源还是闭源开发模式中,安全始终是一项挑战”,Hohndel 表示开发人员通常会受到创新的驱动,致力去寻找如何使工作成功的方法,而忽略安全性。在他看来,安全不应该分为开源与闭源,而是应该作为一个行业问题去解决。

对此,你怎么看?对于开源软件的安全问题,有何见解?欢迎评论。


本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区
[http://www.oschina.net]
本文标题:开源软件漏洞频出,所谓的 Linus’s Law 是否已过时?

评论
(17)

精彩评论





9

闭源项目漏洞少吗?你不知道而已。




2

其实主要问题还是在于业界的浮躁。




2

说的好像Windows补丁很少似的




2

仍然可行!




1

引用来自“dfsr”的评论

闭源项目漏洞少吗?你不知道而已。

不但不会让你知道,有的还要留着自己用!

最新评论





0

写代码的有几个原因写测试,

像那种最顶级的开源羡慕,核心要不是一个团队,要么就是一个公司




0

有足够的单元测试员及共同开发者。 后者才是重点。 实际上,一个开源项目很少 有足够多得 开发者。。




0

一直不赞同所谓开源就能让软件故障减少的观点。

实际上,这不仅仅是个数学问题。

没有没有缺陷的软件——只要这个软件还有功能。

没有缺陷的软件,等于让世界没有坏人。

那么开源相当于有天眼整天可以盯着你。

但是,这不能阻止你变成坏人,如果你做了坏人不受惩罚的化,你还是会变成坏人。

所以,开源能减少 bug ,是因为有更多的人可以查看代码并修复bug,参与软件的改进,收集更多的人类智慧劳动成果,而不是公开了代码自然问题就变少了。




0

审查的成本太大,怎么解决?




1

引用来自“dfsr”的评论

闭源项目漏洞少吗?你不知道而已。

不但不会让你知道,有的还要留着自己用!




2

其实主要问题还是在于业界的浮躁。




2

说的好像Windows补丁很少似的




0

引用来自“clouddyy”的评论

仍然可行!

引用来自“yuzhouliu”的评论

只是相对的可行,实际上这个已经越来越不可行了

说白了还是缺人缺钱




0

引用来自“clouddyy”的评论

仍然可行!

只是相对的可行,实际上这个已经越来越不可行了




0

因为现在开源软件越来越多了,优秀的能看出软件的漏洞的程序员却还是那么多,检查漏洞的精力不足,这也是导致了现在开源软件漏洞多的一个重要原因。




0

现在软件开发者数量相对于软件规模明显不够用,所以软件安全是个大挑战




0

安全应该作为一个增值项目




1

能开发系统和发现问题的都是最强大脑呀!




9

闭源项目漏洞少吗?你不知道而已。




1

Linus’s Law 现在看来,就是正确的废话,首先你得保证有足够多双眼睛在关注着源码。

而且关注度 = 关注者 / 行数,一个千万行代码的项目,就算100个关注者也不顶用。




0

问题是单个项目的共同开发者不算多了,而且在安全方面能力强的开发者更少,每天都有好多的开源项目出现。




2

仍然可行!



插入:



  • People
  • Nature
  • Objects
  • Places
  • Symbols







精彩评论





9

闭源项目漏洞少吗?你不知道而已。



9




9




2

其实主要问题还是在于业界的浮躁。



2




2




2

说的好像Windows补丁很少似的



2




2




2

仍然可行!



2




2




1

引用来自“dfsr”的评论

闭源项目漏洞少吗?你不知道而已。

不但不会让你知道,有的还要留着自己用!




1




1

最新评论





0

写代码的有几个原因写测试,

像那种最顶级的开源羡慕,核心要不是一个团队,要么就是一个公司



0




0




0

有足够的单元测试员及共同开发者。 后者才是重点。 实际上,一个开源项目很少 有足够多得 开发者。。



0




0




0

一直不赞同所谓开源就能让软件故障减少的观点。

实际上,这不仅仅是个数学问题。

没有没有缺陷的软件——只要这个软件还有功能。

没有缺陷的软件,等于让世界没有坏人。

那么开源相当于有天眼整天可以盯着你。

但是,这不能阻止你变成坏人,如果你做了坏人不受惩罚的化,你还是会变成坏人。

所以,开源能减少 bug ,是因为有更多的人可以查看代码并修复bug,参与软件的改进,收集更多的人类智慧劳动成果,而不是公开了代码自然问题就变少了。




0




0




0

审查的成本太大,怎么解决?



0




0




1

引用来自“dfsr”的评论

闭源项目漏洞少吗?你不知道而已。

不但不会让你知道,有的还要留着自己用!




1




1




2

其实主要问题还是在于业界的浮躁。



2




2




2

说的好像Windows补丁很少似的



2




2




0

引用来自“clouddyy”的评论

仍然可行!

引用来自“yuzhouliu”的评论

只是相对的可行,实际上这个已经越来越不可行了

说白了还是缺人缺钱




0




0




0

引用来自“clouddyy”的评论

仍然可行!

只是相对的可行,实际上这个已经越来越不可行了




0




0




0

因为现在开源软件越来越多了,优秀的能看出软件的漏洞的程序员却还是那么多,检查漏洞的精力不足,这也是导致了现在开源软件漏洞多的一个重要原因。



0




0




0

现在软件开发者数量相对于软件规模明显不够用,所以软件安全是个大挑战



0




0




0

安全应该作为一个增值项目



0




0




1

能开发系统和发现问题的都是最强大脑呀!



1




1




9

闭源项目漏洞少吗?你不知道而已。



9




9




1

Linus’s Law 现在看来,就是正确的废话,首先你得保证有足够多双眼睛在关注着源码。

而且关注度 = 关注者 / 行数,一个千万行代码的项目,就算100个关注者也不顶用。



1




1




0

问题是单个项目的共同开发者不算多了,而且在安全方面能力强的开发者更少,每天都有好多的开源项目出现。



0




0




2

仍然可行!



2




2

关注微信公众号


下载手机客户端


开源中国社区是工信部开源软件推进联盟指定的官方社区
粤ICP备12009483号-3 深圳市奥思网络科技有限公司版权所有