你不能只抓住“无论是商业软件还是开源软件,coding作恶动机一样大”这一个视角不放。
lv网友比你视野更广,跳出了你的单一视角来分析安全问题。
【 在 leadu (leadu) 的大作中提到: 】
: 多个帖子一起回了,免得分叉。
: 我的帖子不是在说开源不好,开源有可定制化等好处。我的帖子是在讨论ArchLinux贴的那个图,那个图在说Windows控制用户,而用户可以控制Linux的。
: 这个图逻辑是站不住脚的。
: 现代软件工程的规模,已经导致一个人很难去查看完整的源代码了。
: 如果有人可以克服这种规模性和复杂性,那么Windows在汇编层面也是开源的,一亿行代码和10亿行代码对于一个人来说没有什么区别。对于这些世界顶级的人来说,Windows和Linux都是开源产品。
: 当用户克服不了这种规模性和复杂性,Windows和Linux都是闭源产品。用lv总你举个例,你的技术水平在水木上是突出的,提前和你说openssl可能有问题你很可能能发现,但你最终发现Heartbleed了吗?并没有。规模性和复杂性带来了很多变化,并不再像审计helloworld那么简单了
: 所以从技术的可以信赖的角度,这俩都差不多,反正普通用户都审计不了。微博上有人提前发现Heartbleed,但他并没有提前反馈,也没有表现出Linux在机制上更加有优势。
: 但是Windows是在商业世界的,每个提交者都是实名可追踪的,谁恶意埋后门是会坐牢的。它的情况从非技术角度看,是要比存在匿名提交的Linux要好很多的。
: 在这多说一句免得有别的初学者抬杠:对于有经验的开发人员,漏洞和后门是一回事,只在作者一念间。Heartbleed是有阴谋论的说法的,有人认为作者是故意的,并且通过了code review。
: 所以ArchLinux贴的那个图,怀疑微软在Windows当中做手脚,没有问题,逻辑上占的住;但同时也应该用同样的逻辑去怀疑Linux,Linux由于存在大量的匿名提交,对于这个做手脚的逻辑质疑,比Windows表现的更加差一些。
: 所以ArchLinux贴的那个图的结论是不成立的
--
FROM 125.35.5.*