2017年的Linux:强大后责任重大

2016年,Linux二十五岁。Linux开始时只是个学生项目。时至今日,一切的一切都运行Linux。智能手机、超级计算机、网站服务器、云、车辆等等在所有的时间里运行的都是Linux。

ZD至顶网软件频道消息: 2016年,Linux二十五岁。Linux开始时只是个学生项目。时至今日,一切的一切都运行Linux。智能手机、超级计算机、网站服务器、云、车辆等等在所有的时间里运行的都是Linux。

 2017年的Linux:强大后责任重大

锁定Linux不受攻击者侵入已经成了十分重要的工作

连唯一的例外终端用户也开始迁移到Linux里。Android现在是最受欢迎的终端用户操作系统。此外,Chromebook也大受欢迎。事实上,即使是诸如Fedora、openSUSE、Mint、Ubuntu等传统Linux桌面系统也终于渐渐成势。笔者的Linux同事甚至还预测“Linux桌面市场份额最终将突破5%的关口”。

当然,终端用户用Linux也是有年头的事了。只是他们没有意识到几乎所有流行的网站、许多软件即服务(SaaS)应用程序都是在Linux上运行而已。

甚至连微软也终于投到Linux门下。笔者指的是微软去年加入Linux基金会这事。

既然Linux的一切都如此地美好,笔者为什么担心呢?原因是现在每个真正的黑客都会紧跟Linux和其他开源项目的代码,为的是寻找漏洞,干这些事的不再仅仅是玩脚本编程的毛孩子了。

开源领袖Eric S. Raymond数年前在Linus定律里指出,“吸足了眼球的Bug是藏不住的”,确实是这样。Linux现在的成功以及开源软件现在这么强大,其关键之一就是Linus定律。

但Linus定律只有在有足够人手找Bug及修复代码的前提下才会奏效。据估计,每千行代码(KLOC)的错误个数为15到50,而经严格检查和测试过的代码 KLOC错误个数为3。Linux内核本身现在有超过1600万行代码。不妨算一算。

仅仅2016年一年里,我们就见证了两个重大Linux安全漏洞大开。两个漏洞出现在一个调用LUKS磁盘加密和Dirty Cow的脚本程序里。Dirty Cow是个Linux内存问题。另外也出现过一些小的Linux Bug。这些问题几乎一出现就被修复,给Linux点个赞。

在快速修复问题这一点上,Linux过去的表现远远优于苹果、微软或其他专有软件供应商。笔者还是列个数字。发现和修复的Bug不下3000个。

业界有许多顶尖Linux安全开发人员,他们都在忙着追寻这些Bug。如果读者发现了Bug,也可以根据指引报告Bug。但修复Bug的程序员则永远是供不应求。

Linux领领袖人物Jon“Maddog”Hall几年前曾明智地指出,“有些人认为《自由软件》(Free Software)拥有“无限的”资源。而每一个产品或者项目的资源在某个方面总是有限的。能够开发自由软件的人数,尤其是能够开发某个特定软件的人数受到拥有技能、时间和愿意做贡献的人数的限制。《自由软件》的实质为,终端用户能够加快修复‘严重’Bug的速度,如果开发商没有时间和意愿去解决问题,终端用户可以自己找资源来解决它。”

在Hall在2009年写上面一段话时,许多Linux用户仍然是程序员。现在不一样了。是的,很多开发人员使用Linux,但也上亿个Linux“用户”连Java和JavaScript之间的区别也搞不清,就更不用说修复Bug了。

而同时,一众黑客却千方百计地试图破解Linux。爱尔兰开发人士Donncha O'Cearbhaill最近发现两个Ubuntu桌面的Bug,他说有漏洞供应商找他出价10000美元买这些Apport Bug。他表示,“软件变得更加安全了,找Bug更困难了,相应的金融激励因素也在增加。”

10000美元是个小数目。假如有人发现某服务器的Linux加密数据Bug的话,笔者可以想象6位数的勒索软件(Ransomware)肯定有需求,勒索软件是一种恶意软件,可以加密和扰乱数据,黑客可以据此胁迫用户交钱买解密密钥。IBM安全最近的一项研究显示,近70%地的企业受害者为了恢复数据乖乖交钱给勒索软件黑客。

由于巨大的潜在金额,Linux必将受到黑客前所未有的攻击。Linux变得强大了;Linux开发商和供应商现在必须站出来维持Linux的安全和承担由此而来的重大的责任。

来源:ZD至顶网软件频道

0赞

好文章,需要你的鼓励

2017

01/04

15:50

分享

点赞

邮件订阅
白皮书