Open source 开源软件是否可能有病毒/间谍软件/恶意软件?
抱歉,如果这是一个愚蠢的问题,但有时我会看到复活节彩蛋和类似于天资的东西。(Debian的包管理器)Open source 开源软件是否可能有病毒/间谍软件/恶意软件?,open-source,Open Source,抱歉,如果这是一个愚蠢的问题,但有时我会看到复活节彩蛋和类似于天资的东西。(Debian的包管理器) 有没有可能更多的险恶功能进入了开源软件?有可能,但有点难,因为源代码就在那里。作者希望没有人在运行源代码之前阅读源代码,我想这对很多人来说都是正确的。我知道我不必费心去读我运行的开源程序的源代码。在一个更大的项目中,这会更困难,因为代码经常被审查,但是如果只有一个作者,那么就容易多了。任何软件都可能包含恶意部分(有意或无意)。开放源代码的优点是,您可以检查它(如果您愿意并且有时间这样做)。是的,
有没有可能更多的险恶功能进入了开源软件?有可能,但有点难,因为源代码就在那里。作者希望没有人在运行源代码之前阅读源代码,我想这对很多人来说都是正确的。我知道我不必费心去读我运行的开源程序的源代码。在一个更大的项目中,这会更困难,因为代码经常被审查,但是如果只有一个作者,那么就容易多了。任何软件都可能包含恶意部分(有意或无意)。开放源代码的优点是,您可以检查它(如果您愿意并且有时间这样做)。是的,这是可能的,同样的,封闭源代码软件也可能发生同样的情况(团队中的恶意开发人员等)
不过,可以说,开放源代码不太可能实现这一点,因为当人们注意到类似的事情时,任何其他用户都可以提取问题代码,而这不再是一个问题。我想说,这显然是可能的。它所需要的只是代码在没有充分审查的情况下被接受。不难想出这样的场景,因为评论者都是人 更有趣的问题是,恶意软件被接受到某个软件包中的可能性有多大,它会造成危害。不幸的是,这很难回答。至少到目前为止,我们似乎做得还不错 我猜(“有足够的眼睛,所有的bug都是肤浅的”)是正确的,但很容易想到,仅仅因为某些东西是开源的,人们就会花很多时间来关注它的代码。据我所知,这通常不是真的
编辑:更改了上面关于莱纳斯定律的措辞,但有错误的原因。是的,但通常在它成为问题之前就被注意到并删除了。对于任何维护良好的开源软件,都会有很多人检查每个版本是否有任何更改。是的,这是可能的,请参阅Debian OpenSLL崩溃以获得一个很好的示例:
虽然这不是病毒/间谍软件/恶意软件,但它清楚地显示了开源软件中可能出现的错误。是的,这是可能的,取决于对源代码的提交访问控制得有多仔细,以及对这些提交的监控有多仔细。一些项目有一些主要的开发人员,他们从社区请求补丁并将其提交给代码库,其他项目将授予更多的开发人员访问权限。同样,一些项目在进行更改时会有大量的人查看源代码。这是可能的,因为它的代码与任何专有软件一样。然而,主要的区别在于,您和社区可以访问代码,这一事实足以阻止它在几乎所有情况下发生。此外,大量版本的库和内核使得恶意软件不太可能成功。你真的知道你在使用什么吗?你查过了吗?典型用户是否检查或关心
例如,谷歌搜索关键词:
存储库受损gpg存储库受损如果有疑问,您可以自己检查代码,或者雇佣他人为您检查代码。当然,代码审查通常不会捕获细微的bug或错误,但恶意代码可能更明显。原则上可能吗?当然任何软件都可以做人们不想做的事情 在实践中可能吗?反对的理由当然是该软件是可用的,而且很多人都在看它,所以它会在造成太大损害之前被发现 另一方面,还有一个卑鄙的C代码竞赛,在竞赛中,你提交的程序故意表现不好,但通过对源代码的检查,不明显是导致不好行为的原因 当然还有Debian SSL错误,在Debian上使用OpenSSL库生成的SSL密钥非常不安全。显然,这只是一种不称职的行为(Hanlon的剃刀,每个人),但它表明了安全问题是如何潜入开源代码的。使用弱密钥和SSH访问,代码中不需要病毒,只需在生产系统上运行弱代码时利用它
把这当作是/否/可能:)类似于封闭源代码软件可以是病毒/间谍软件/恶意软件,开放源代码也可以是。还有大量可怕的开源软件 到目前为止,我所看到的每一个封闭源代码的windows软件都是某种恶意软件,所以人们的偏见是,总体而言,封闭源代码的应用程序成为垃圾的几率更高 谁来阻止它?即使软件是开源的,只有劣质软件才允许任何人在未经授权的情况下接触发布库。通常会有维护人员审查所有传入的修补程序
99%的生产和使用的软件质量低劣,且存在缺陷。这当然是可能的,但更为复杂。我不知道有什么真正的恶意软件,但人们也犯过类似的错误。(我知道已经发现了一些错误;显然,我不知道有多少错误没有被发现。)