Re: [轉錄][文章] 大家都看不見 世界就很安全?(轉錄)
回推文。
source code公佈出來給人review, 就算是99%的漏洞都被堵住 01/31 12:35
→ lgd1008:但只要有0.01%的漏洞,沒被發現沒被堵住,令有心人有機可趁, 01/31 12:37
→ lgd1008:那麼前面堵住99%漏洞的努力都是徒勞無功...
1. 作業系統不是基於某種了不起的神秘智慧開發出來的,而是利用早就成熟的技術
與架構規劃策略為了滿足確定的需求而實做的。
2. Open Source的軟體發展成敗,不是建立在寫得程式碼有多取巧上面,而是有多少人
可以參與貢獻並進行開發。程式碼的可讀性與社群的回饋修正的難易決定了這個軟體
專案的壽命與受歡迎度。也就是說,越多人用、社群越大的OSS 就是在這種回饋機制
上做的最好OSS project。
簡單講,一個夠大夠有指標性的OSS,它裡面的程式碼如果你覺得很難看不懂,那是
你還不具有處理那種水準問題的能耐,不是它想把程式碼寫得讓人看不懂。
對思考該領域問題非常透徹的人來說,那通常都是可以想到、找到最簡潔好控制的
方案。
我自己就是個OSS開發者,我在追程式的時候,常常會感覺到寫這段程式的人在跟
我說:『有種就開一個更好懂、簡單而且確實滿足我的條件的架構出來』
3. 如果你講的那種漏洞真的存在,而這世上所有其它參與這個專案的人都沒挖出它。
那要嘛這個專案參與的人太少、水準也不夠。
要嘛,那個人絕頂聰明,世上無雙
如果是前者,這個專案也就不重要,擔心一個不重要的專案的漏洞幹麼?
如果是後者,根據經濟學原理,去搞一個閉源且對世界來說影響很大的軟體賺更
大,且漏洞會存在更久。
4. 至於徒勞無功...開源的有漏洞沒被發現就是徒勞無功。那私有的有漏洞卻沒被
發現呢?
還是你想說的是:
OSS有被review過的都找不出來,那以後肯定也沒希望了,而私有封閉的起碼code
都還沒被review過,所以還有被找出來的希望嗎?
如果這就是理由,那就表示你可能相信寫閉源程式的都是一群比較『高級』、
『聰明』的人。他們只是人數不夠多去review程式、同儕審查而已,只要他們
『願意』『有時間』他們的東西就是會比較沒有洞。
我只能說真是了不起,可惜漏洞就是漏洞,而Win XP上的IE6 從SP1 一路爛到SP3
,就別提上個世紀的Windows 98了。
也許等夠久這些閉源軟體的洞會有人補,那要不要順便想想開源軟體的洞在這段
時間裡會被發現並修掉多少呢?
--
我所信仰的科學是一種謙卑的理性,承認自身的無知與渺小才能觀察到世界在我們貧
弱的知覺上留下來的痕跡。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 72.21.245.243
→
02/05 10:21, , 1F
02/05 10:21, 1F
→
02/05 10:22, , 2F
02/05 10:22, 2F
→
02/05 10:24, , 3F
02/05 10:24, 3F
→
02/05 11:56, , 4F
02/05 11:56, 4F
→
02/05 12:26, , 5F
02/05 12:26, 5F
→
02/05 12:27, , 6F
02/05 12:27, 6F
→
02/05 12:30, , 7F
02/05 12:30, 7F
→
02/05 12:30, , 8F
02/05 12:30, 8F
→
02/05 12:41, , 9F
02/05 12:41, 9F
→
02/05 12:42, , 10F
02/05 12:42, 10F
→
02/05 13:09, , 11F
02/05 13:09, 11F
→
02/05 13:09, , 12F
02/05 13:09, 12F
→
02/05 13:43, , 13F
02/05 13:43, 13F
→
02/05 13:44, , 14F
02/05 13:44, 14F
→
02/05 13:44, , 15F
02/05 13:44, 15F
→
02/06 14:14, , 16F
02/06 14:14, 16F
→
02/06 14:14, , 17F
02/06 14:14, 17F
討論串 (同標題文章)
完整討論串 (本文為第 3 之 6 篇):