【開放文化觀點】充滿「民主價值」的自由軟體,是資安的最後一道防線

把原始碼公開反而更安全?這也許違反大眾直覺,但集眾人之力一起檢視,修復漏洞的速度反而更快。
評論
Shutterstock/達志影像
Shutterstock/達志影像
評論

如果你記性不錯,可能會記得賈伯斯過世前不久的 2011 年元旦,蘋果送給許多 iPhone 用戶一個「新年禮物」:1 月 1 日與 2 日的鬧鐘不會響。這個大失誤,害慘了成千上萬個使用者,《紐約時報》更指出,這不是蘋果鬧鐘首次出包。

在軟體開發的世界,當一個軟體運作出錯,我們稱為「臭蟲」(Bug)。臭蟲可以是無傷大雅的小問題,也可能是攸關金錢與人命的危險漏洞。每套軟體內部都有一系列檢測與修補錯誤的流程,但你是否知道:一般的商業軟體往往習慣閉門造車,抓臭蟲補漏洞的機制並不透明,可能害使用者陷入資安危機?

缺乏明確保護機制,商業軟體臭蟲風險多

軟體是由原始碼 (Source Code) 構成,一般可將軟體分為自由軟體 (free software) 和專有軟體 (proprietary software),前者的原始碼通常公諸於世,開放給他人自由研究、改良重製和發佈等;後者則反之。商業軟體由於沒有開放原始碼,普通使用者沒有權限深入研究軟體運作機制,導致臭蟲往往藏在軟體深處,難以發現。2014 年,BBC 引用 IBM 的研究報告,踢爆微軟 Windows 長達 19 年未修的臭蟲。IBM 研究員 Robert Freeman 表示,這個漏洞甚至可讓駭客遠端控制使用者的電腦。

Google 的研究者在今年 10 月也發現了一個系統漏洞,苦主仍然是微軟 Windows。據 TechCrunch 報導,Google 指出該漏洞會害使用者被植入惡意軟體,並「持續地被駭客利用」。他們給微軟一週時間抓蟲補洞,微軟卻做不到,Google 因此決定將漏洞細節公開。面對這麼危險的狀態,微軟卻輕描淡寫地回應「開發安全性的更新,必須在即時性與品質之間取得平衡」。

然而,若發現漏洞的人懷有惡意,鄉黨可能利用臭蟲從事非法行為。即使有精通 Windows 的外部開發者願意無償幫微軟作高品質的安全更新,或協助修復軟體,商業軟體的封閉特性也不允許公司以外的人獲取、研究與修改原始碼,讓這種藏在系統深處的「滅蟲」任務更難以達成。

四個自由,保障使用者資訊安全的權利

除了 Windows、Office 等商業軟體之外,Firefox、Linux、LibreOffice 等知名軟體則是開放原始碼的自由軟體。與商業軟體不同,自由軟體定義有「四個自由」:使用軟體、研究與修改原始碼、散布軟體,以及公開軟體修改版本的自由。

這四個自由,讓軟體每個細節攤在陽光下,同時保障開發者與使用者雙方。對開發者而言,軟體若出問題,大量的使用者都可以回報,甚至協助修改軟體錯誤;即使有些使用者不懂得軟體開發,也可以受益於這套快速的臭蟲處理機制,隨時享受最安全的自由軟體。

科技與社會學者洪朝貴撰文表示:「當自由軟體用戶遇到不合理的統治規則,如果有夠多人在乎,就可以一起改變。」洪朝貴也進一步強調,在數位化政府的時代,軟體原始碼是掌控政府機關是否可以正常運作的關鍵,臺灣人「應該從政治觀點去看自由軟體,看到『透明化』與『可修改』的重要意義。」

科技巨頭集結,幫助自由軟體更加安全

目前主流的自由軟體安全性已經極高,並廣泛獲得商業公司使用與維護,但資訊安全永遠還有進步空間。今年 8 月 3 日,「開放原始碼安全基金會」(Open Source Security Foundation,簡稱 OpenSSF) 正式宣告成立。該基金會在成立的新聞稿中提到:「OpenSSF 致力與上游和現存的社群協作與合作,以提升所有的開放原始碼安全性。」所謂社群,是指由開源專案的開發者、維護者與推廣者共同組成的群體。

根據官網,OpenSSF 最初的任務包含漏洞揭露、安全工具、識別開放原始碼計畫中的安全威脅、安全實踐、保護重要專案等,由於矽谷公司早就成為自由軟體的重要使用者,目前除了 Linux 基金會、臉書、IBM、微軟、Google 等科技巨頭是成員外,甚至連華為、騰訊也都是 OpenSSF 的會員。

透過眾人的力量,可以匯集大量投資,幫助自由軟體更加安全,但背景複雜的商業公司加入 OpenSSF 也帶來了疑慮。這些科技巨頭公司的加入成為會員,對於自由軟體開發各有優劣,不過 OpenSSF 的會員無法左右開源專案的決策,就算未來專案有變調,基於自由軟體開放原始碼、去中心化的特性,任何社群成員只要感到不妥,隨時都能把軟體原始碼帶走,並另起爐灶。

參考資料:紐約時報BBCTechCrunch天下雜誌OpenSSF



精選熱門好工作

專案經理(2C)

英屬維京群島商幫你優股份有限公司台灣分公司
臺北市.台灣

獎勵 NT$15,000

網頁設計師(台北)

雷麒科技有限公司
桃園市.台灣

獎勵 NT$15,000

軟體測試工程師 (SQA Engineer)

FunNow
臺北市.台灣

獎勵 NT$15,000