暗網潛航——開源安全嗎?

  防疫軟件「安心出行」令坊間多了對「開源軟件」討論,在各方評論中,我發現大家不太明白甚麼是「開源」(OpenSource)。反對「開源」的人認為,它是把所有程式源代碼毫無保留向公眾公開,所以認為它並不安全,甚至會侵犯商業版權和知識財產。支持「開源」的人則認為,它會毫無保留理解整個軟件的所有源代碼,最後落在「開源是否安全」的問題。

  大家似乎對「開源軟件」、「自由軟件」、「著作權」、「公共版權」、「軟件質量管理」、「源代碼安全開發」,以及「通用公眾特許條款」不甚了解。「開源」和「自由」軟件運作機制和被創造的目的非常宏大而且複雜,不是三言兩語可解釋清楚,今次我想釐清一些大家對「開源」和「自由」軟件認知不足而產生的誤解。

  首先「開源」並不意味要把程式源代碼完全向公眾呈現和分享,這是因為對於「GNU計劃」的整個運作機制不理解而產生的謬誤,「GNU計劃」是會誕生數百種不同限制範圍的授權方式。以作業系統Linux為例,一般都是由不同的軟件所組成的聚合體,當中每一個不同模組會有不同版權限制,包括把程式源代碼部份或完全開放的「開源」或「自由」軟件,和程式源代碼完全不開放的「專屬軟件」。第二點是開放程式源代碼是不安全,軟件是否安全是基於開發質量和對漏洞及危機反應速度,這是資源上的運用和協調,同時包括開發人員對於源代碼安全開發的認知。

  如果想清楚理解甚麼是「開源」和「自由」軟件,筆者推薦大家細閱Eric Steven Raymond的著作《大教堂與市集》。

TOZ聯合創辦人

龐博文


hd