2017年的Linux：强大后责任重大

ZD至顶网软件频道消息： 2016年，Linux二十五岁。Linux开始时只是个学生项目。时至今日，一切的一切都运行Linux。智能手机、超级计算机、网站服务器、云、车辆等等在所有的时间里运行的都是Linux。

锁定Linux不受攻击者侵入已经成了十分重要的工作

连唯一的例外终端用户也开始迁移到Linux里。Android现在是最受欢迎的终端用户操作系统。此外，Chromebook也大受欢迎。事实上，即使是诸如Fedora、openSUSE、Mint、Ubuntu等传统Linux桌面系统也终于渐渐成势。笔者的Linux同事甚至还预测“Linux桌面市场份额最终将突破5%的关口”。

当然，终端用户用Linux也是有年头的事了。只是他们没有意识到几乎所有流行的网站、许多软件即服务(SaaS)应用程序都是在Linux上运行而已。

甚至连微软也终于投到Linux门下。笔者指的是微软去年加入Linux基金会这事。

既然Linux的一切都如此地美好，笔者为什么担心呢？原因是现在每个真正的黑客都会紧跟Linux和其他开源项目的代码，为的是寻找漏洞，干这些事的不再仅仅是玩脚本编程的毛孩子了。

开源领袖Eric S. Raymond数年前在Linus定律里指出，“吸足了眼球的Bug是藏不住的”，确实是这样。Linux现在的成功以及开源软件现在这么强大，其关键之一就是Linus定律。

但Linus定律只有在有足够人手找Bug及修复代码的前提下才会奏效。据估计，每千行代码(KLOC)的错误个数为15到50，而经严格检查和测试过的代码 KLOC错误个数为3。Linux内核本身现在有超过1600万行代码。不妨算一算。

仅仅2016年一年里，我们就见证了两个重大Linux安全漏洞大开。两个漏洞出现在一个调用LUKS磁盘加密和Dirty Cow的脚本程序里。Dirty Cow是个Linux内存问题。另外也出现过一些小的Linux Bug。这些问题几乎一出现就被修复，给Linux点个赞。

在快速修复问题这一点上，Linux过去的表现远远优于苹果、微软或其他专有软件供应商。笔者还是列个数字。发现和修复的Bug不下3000个。

业界有许多顶尖Linux安全开发人员，他们都在忙着追寻这些Bug。如果读者发现了Bug，也可以根据指引报告Bug。但修复Bug的程序员则永远是供不应求。

Linux领领袖人物Jon“Maddog”Hall几年前曾明智地指出，“有些人认为《自由软件》（Free Software）拥有“无限的”资源。而每一个产品或者项目的资源在某个方面总是有限的。能够开发自由软件的人数，尤其是能够开发某个特定软件的人数受到拥有技能、时间和愿意做贡献的人数的限制。《自由软件》的实质为，终端用户能够加快修复‘严重’Bug的速度，如果开发商没有时间和意愿去解决问题，终端用户可以自己找资源来解决它。”

在Hall在2009年写上面一段话时，许多Linux用户仍然是程序员。现在不一样了。是的，很多开发人员使用Linux，但也上亿个Linux“用户”连Java和JavaScript之间的区别也搞不清，就更不用说修复Bug了。

而同时，一众黑客却千方百计地试图破解Linux。爱尔兰开发人士Donncha O'Cearbhaill最近发现两个Ubuntu桌面的Bug，他说有漏洞供应商找他出价10000美元买这些Apport Bug。他表示，“软件变得更加安全了，找Bug更困难了，相应的金融激励因素也在增加。”

10000美元是个小数目。假如有人发现某服务器的Linux加密数据Bug的话，笔者可以想象6位数的勒索软件（Ransomware）肯定有需求，勒索软件是一种恶意软件，可以加密和扰乱数据，黑客可以据此胁迫用户交钱买解密密钥。IBM安全最近的一项研究显示，近70%地的企业受害者为了恢复数据乖乖交钱给勒索软件黑客。

由于巨大的潜在金额，Linux必将受到黑客前所未有的攻击。Linux变得强大了；Linux开发商和供应商现在必须站出来维持Linux的安全和承担由此而来的重大的责任。