【開放文化觀點】充滿「民主價值」的自由軟體,是資安的最後一道防線

把原始碼公開反而更安全?這也許違反大眾直覺,但集眾人之力一起檢視,修復漏洞的速度反而更快。
評論
Shutterstock/達志影像
評論

如果你記性不錯,可能會記得賈伯斯過世前不久的 2011 年元旦,蘋果送給許多 iPhone 用戶一個「新年禮物」:1 月 1 日與 2 日的鬧鐘不會響。這個大失誤,害慘了成千上萬個使用者,《紐約時報》更指出,這不是蘋果鬧鐘首次出包。

在軟體開發的世界,當一個軟體運作出錯,我們稱為「臭蟲」(Bug)。臭蟲可以是無傷大雅的小問題,也可能是攸關金錢與人命的危險漏洞。每套軟體內部都有一系列檢測與修補錯誤的流程,但你是否知道:一般的商業軟體往往習慣閉門造車,抓臭蟲補漏洞的機制並不透明,可能害使用者陷入資安危機?

缺乏明確保護機制,商業軟體臭蟲風險多

軟體是由原始碼 (Source Code) 構成,一般可將軟體分為自由軟體 (free software) 和專有軟體 (proprietary software),前者的原始碼通常公諸於世,開放給他人自由研究、改良重製和發佈等;後者則反之。商業軟體由於沒有開放原始碼,普通使用者沒有權限深入研究軟體運作機制,導致臭蟲往往藏在軟體深處,難以發現。2014 年,BBC 引用 IBM 的研究報告,踢爆微軟 Windows 長達 19 年未修的臭蟲。IBM 研究員 Robert Freeman 表示,這個漏洞甚至可讓駭客遠端控制使用者的電腦。

Google 的研究者在今年 10 月也發現了一個系統漏洞,苦主仍然是微軟 Windows。據 TechCrunch 報導,Google 指出該漏洞會害使用者被植入惡意軟體,並「持續地被駭客利用」。他們給微軟一週時間抓蟲補洞,微軟卻做不到,Google 因此決定將漏洞細節公開。面對這麼危險的狀態,微軟卻輕描淡寫地回應「開發安全性的更新,必須在即時性與品質之間取得平衡」。

然而,若發現漏洞的人懷有惡意,鄉黨可能利用臭蟲從事非法行為。即使有精通 Windows 的外部開發者願意無償幫微軟作高品質的安全更新,或協助修復軟體,商業軟體的封閉特性也不允許公司以外的人獲取、研究與修改原始碼,讓這種藏在系統深處的「滅蟲」任務更難以達成。

四個自由,保障使用者資訊安全的權利

除了 Windows、Office 等商業軟體之外,Firefox、Linux、LibreOffice 等知名軟體則是開放原始碼的自由軟體。與商業軟體不同,自由軟體定義有「四個自由」:使用軟體、研究與修改原始碼、散布軟體,以及公開軟體修改版本的自由。

這四個自由,讓軟體每個細節攤在陽光下,同時保障開發者與使用者雙方。對開發者而言,軟體若出問題,大量的使用者都可以回報,甚至協助修改軟體錯誤;即使有些使用者不懂得軟體開發,也可以受益於這套快速的臭蟲處理機制,隨時享受最安全的自由軟體。

科技與社會學者洪朝貴撰文表示:「當自由軟體用戶遇到不合理的統治規則,如果有夠多人在乎,就可以一起改變。」洪朝貴也進一步強調,在數位化政府的時代,軟體原始碼是掌控政府機關是否可以正常運作的關鍵,臺灣人「應該從政治觀點去看自由軟體,看到『透明化』與『可修改』的重要意義。」

科技巨頭集結,幫助自由軟體更加安全

目前主流的自由軟體安全性已經極高,並廣泛獲得商業公司使用與維護,但資訊安全永遠還有進步空間。今年 8 月 3 日,「開放原始碼安全基金會」(Open Source Security Foundation,簡稱 OpenSSF) 正式宣告成立。該基金會在成立的新聞稿中提到:「OpenSSF 致力與上游和現存的社群協作與合作,以提升所有的開放原始碼安全性。」所謂社群,是指由開源專案的開發者、維護者與推廣者共同組成的群體。

根據官網,OpenSSF 最初的任務包含漏洞揭露、安全工具、識別開放原始碼計畫中的安全威脅、安全實踐、保護重要專案等,由於矽谷公司早就成為自由軟體的重要使用者,目前除了 Linux 基金會、臉書、IBM、微軟、Google 等科技巨頭是成員外,甚至連華為、騰訊也都是 OpenSSF 的會員。

透過眾人的力量,可以匯集大量投資,幫助自由軟體更加安全,但背景複雜的商業公司加入 OpenSSF 也帶來了疑慮。這些科技巨頭公司的加入成為會員,對於自由軟體開發各有優劣,不過 OpenSSF 的會員無法左右開源專案的決策,就算未來專案有變調,基於自由軟體開放原始碼、去中心化的特性,任何社群成員只要感到不妥,隨時都能把軟體原始碼帶走,並另起爐灶。

參考資料:紐約時報BBCTechCrunch天下雜誌OpenSSF


趕上全民投資運動!國泰世華網銀 App 線上搞定證券戶,還能投資美股、加強理財

因疫情而興起的產業類別,在過去一段時間的表現,讓不投資的民眾對於「航海王」、「鋼鐵人」…等詞彙也能朗朗上口,連大學生愛用的社群平台Dcard也有不少的股票討論。用投資來刻畫更好的生活,已經是全民運動。
評論
Photo Credit:iStock
評論

「持續投資」是管理超過千億美元、全球最知名的資產管理公司橡樹資本共同創辦人霍華.馬克斯(Howard Marks)6 月在國泰世華銀行舉辦的全球投資展望線上論壇中,給予所有投資人的未來建議。儘管下半年不可預期,但持續出擊仍是投資巨擘的建議方向。

就算對投資毫無頭緒,也必須明白一個道理:通貨膨脹在短期內也許沒有感覺,但長期來看,一般民眾放在銀行裡面的錢只會愈來愈小。抵抗通膨的方式,便是有目的性地理財。撇開通膨,不管旅遊、購物、添購生財器具,甚至是退休,都需要有財務規劃的支持,投資理財絕對是規劃道路上事半功倍的選擇。

立即體驗行動金融

投資已成全民運動,國泰世華網銀 App,最快 5 分鐘完成開戶手續

不過,投資並不是有錢人的專利。根據證交所的資料顯示,2020 年台灣的開戶數達到 1,124 萬人,也就是說,每兩個台灣人,就有一個人擁有證券戶。尤其是 20 至 30 歲的年輕族群,占比從五年前的 25.4% 快速增加至 36.1%,大幅成長至 123 萬人。

也因為航海、鋼鐵族群過去一段時間的表現,讓不投資的民眾對於「航海王」、「鋼鐵人」也能朗朗上口,連大學生愛用的社群平台 Dcard 也有不少的股票討論。用投資來刻畫更好的生活,已經是全民運動。

一切的起點都必須從擁有證券戶開始。但自從新冠狀病毒(COVID-19)侵擾以來,臨櫃開戶伴隨而來的等待時間,無形中提高了染疫風險,要參與這項全民運動似乎難度不低。

國泰世華網路銀行 App 以民眾需求為優先,提供了「線上開證券戶」服務,只要備妥雙證件,最快 5 分鐘就能完成開戶手續。國泰世華網路銀行 App 不只提供買賣台股的功能,同步開通了美股複委託,讓跨海購買 Google、Apple 或微軟的股票都在手機上就能輕鬆操作。

Photo Credit:國泰世華

有了證券戶後,固然可以開啟投資人生,但對初步踏入股市的民眾來說,投資不懂得標的無疑是一種賭博。國泰提供每月最低 1,000 元的定期定額存股,不管是熱門股票,或者想要選擇風險較為分散的 ETF,都任由民眾挑選、輕鬆存股;或者也能透過國泰提供的「投資屬性」分析,了解自己的風險承受程度及偏好,選擇適合的基金來投資。

Photo Credit:國泰世華

上述的功能全部收攏在國泰世華網銀 App 內,用一個簡單的 App 就能輕鬆掌握,並檢視所有的資產狀況。

不只是手機上的銀行,更是消費者所有金融服務的提供者

投資難免有風險,對於尚在觀望,或是投資性格較為保守的民眾來說,先安穩地「存一筆本金」是個比較好的開始。

許多理財專家都提到,唯有掌握現金流的流入與流出,才是儲蓄的開端。國泰世華網銀 App 內提供了「母子帳戶」的服務。舉例來說,可以在母帳戶下分出旅遊帳戶、投資帳戶、緊急帳戶、教育基金帳戶等,每一筆錢都有了固定的去處,就不怕克制不了購物慾造成的額外開支。唯有自動化、不必費心的服務,才能最無痛地把錢存起來。

Photo Credit:國泰世華

但這也不代表要犧牲生活品質,利用母子帳戶「目標儲蓄」的功能,也能設定自動匯入固定的款項到子帳戶中,譬如設定一個「大餐帳戶」,每月存入 NT$3,000 元作為犒賞自己辛勞的來源;或是設定一個「遊戲基金」,存入固定的金額來限制自己每年的購買遊戲金額。

如果你打算在疫情解封之後,來一趟好久不見的旅行,除了目標儲蓄之外,利用國泰世華網路銀行 App,只要三分鐘就能開設外幣帳戶,除了買賣外幣有獨享的優惠,國泰還提供最長一年的匯率走勢圖,讓民眾可以在外幣便宜的時刻分批購買。

其他網路銀行應有的功能,不論是存、提、轉、匯,或是繳費、貸款、刷卡推波、消費紀錄查詢、臨時的額度調整等,國泰世華網銀 App 中也都能找到。除此之外,針對資料傳輸、儲存都建立了保護機制,加密技術、使用者辨識系統、存取控制等機制都是基本,來避免資料被第三人截取得知,為資料做最完善的安全把關。

Photo Credit:國泰世華

更重要的是,國泰世華銀行讓手機不只是銀行,同時也是投資幫手、資產管理師。提供最貼近生活上的金融服務,才能回歸服務好每一位消費者的初心。

立即體驗行動金融

本文係由國泰世華邀稿

證券服務由國泰證券提供

台北市敦化南路二段333號19樓| 客服專線 (02) 7732-6888 | 109年金管正總字第0044號