Linus Torvalds不重视 Linux kernel 安全性,是因为这些安全问题注定存在的吗?
这也是最近一篇刊登在Washington Post关于安全的开源操作系统文章所提出的建议。该报将Torvalds在安全方面的举动总结如下:“任何系统的安全性都不可能十全十美的。所以系统必须权衡其他的优先因素--如处理速度、灵活性和易用性--在一系列固有微妙的关系间进行权衡”。
该报同样将Torvalds盛赞为“手握因特网未来的人”。
总之,这两点建议表明Torvalds并不十分关注Linux的安全问题,而且他这种不作为的方式对使用互联网的每一个人产生危害。
这两种说法都是存在问题的。首先,帽子扣的太大--如果是刻意奉承的话--将Torvalds称作手握互联网未来的人。 Linux 内核是互联网的一个重要组成部分,因为它在大量的服务器和网络设备中起到相当大的作用;但是在互联网中有更多比Linux更重要的部分。Apache HTTP server、PHP或者MySQL的开发人员以及其他一些软件开发平台在互联网中起到决定性的作用,并且他们地位应和Linux 内核开发人员平等。
更为重要的是,Torvalds对待安全的态度有很多方面值得商榷。Torvalds 意识到并且愿意承认十全十美的安全系统根本不存在,在软件栈任意层必定存在系统漏洞。
这就使他表达的信息有了其他的含义,并非安慰那些为实现抵制黑客攻击的平台而努力的开发者们。但这些都是虚假的承诺。相比于依赖于一个不存在安全漏洞的幻想,更应该承认存在的局限性。
当然,如果大公司的CTO们坦率地向公众表示,他们的软件系统存在安全漏洞并且是一直都会存在,那他们的业务肯定会受到影响。在Linux的安全性问题上,Torvalds可以更心安理得逃避责任,毕竟他不肩负着维护推广公司形象这一任务。
情况不仅而同,看到类似Post这种平台很让人失望--这些平台中其中很多非专业的读者,他们可能认为确保软件安全的措施仅是在安全领域投入充足的资金--诋毁Linux内核的安全性问题。
毕竟,在过去的二十年里,Linux应用于数百万服务器之中,并且没有任何一个导致数百万用户的个人信息被盗安全漏洞。在企业和政府机构的软件系统大规模的安全漏洞时常出现的时代,敢于说此类的话其他平台开发人员仅占少数。
原文链接:Linus Torvalds: Perfect Security in Open Source Linux OS Is Impossible(译者/刘崇鑫 审校/朱正贵 责编/仲浩)