安全软件开源,对金山网络来说也是一种极大的冒险。图为金山卫士的开源计划。 继11月中旬宣布金山毒霸免费后,12月1日,金山网络又宣布启动“开源计划”,金山卫士将全面开源,任何第三方的厂商或者个人均可自由下载和使用金山卫士源代码,不限制开源后的代码进行商业性的使用。 但作为同行,360公司却表示不会对安全软件开源,称如果360安全软件开源,势必会让木马有更多的攻击方法,这是对用户的不负责任。 截然相反的两种态度也引起了业内的广泛关注。有观点称,作为同行兼曾经的对头,金山网络的开源之举乃是一种新噱头,意在发起对360的挑战。但还有观点称,金山将安全软件开源乃是行业的破冰之举,是一种福音。孰是孰非且不论,光是将安全软件开源就已是一件新鲜事儿。 孤独的安全软件开源 12月1日,金山网络高调启动金山卫士开源计划,宣布将金山卫士全面开源,任何第三方的厂商或者个人均可自由下载和使用金山卫士源代码,不限制开源后的代码进行商业性的使用。据悉,这是国内首个安全软件开源。 金山网络CEO傅盛表示,“开源计划中不仅仅只是金山卫士,金山核心的云安全将通过API的接口形式对外开放,而涉及到病毒木马的对抗层则需要通过申请的方式才可以查阅。”金山卫士首期公开源代码的是“隐私保护”模块和“漏洞修复”模块,其余模块将在两个月的时间内全部对外开放。 傅盛在自己的微博中称:“金山卫士开源可降低安全软件的进入门槛,让任何厂商和个人均可拥有属于自己的安全软件,进入全民保卫互联网安全的时代。” 值得注意的是,金山此举并未赢得同行的振臂同呼。 面对金山卫士的开源计划,360公司回应称,360与所有国际著名安全厂商一样,不会对安全软件开源。在中国有3亿多用户使用360保护自己的电脑,杀木马、防盗号、保护隐私是360的首要责任。如果360源代码开源,势必会让木马有更多的攻击方法,这是对用户的不负责任。 而国内另一家安全软件商———瑞星公司的安全专家则对《经济参考报》记者表示,“瑞星一直致力于安全技术的不断创新,目前的重点不是开源不开源的问题,而是要如何充分利用资源引领创新,引领整个反病毒行业的技术进步。”言下之意,瑞星杀毒也不会开源。除此之外,世界知名的安全软件商卡巴斯基也没有公开宣布实施开源。 没有同行的广泛认同,对于金山卫士的开源计划,诸多消费者也产生了怀疑。有网友表示,360说得有道理,安全软件开源势必会引发更严峻的安全问题,金山卫士的开源之举有些理想化。还有网友称,将杀毒软件开源对企业来说是勇气,对消费者来说是风险,如果遇到不负责任的安全软件商,对消费者将是一场灾难。 此外,傅盛曾表示,金山卫士将会逐步开放源代码,但最核心与黑客攻防方面的源代码不会完全公开。有业内人对此称,金山卫士既然已经决定开放源代码了,但为何核心代码不公开?称其是“假开源”,是个“噱头”。 但不管怎样,金山的开源之举已经引起了业内广泛关注:安全软件究竟该不该开源? 国际上早已有先例 在中国工程院院士倪光南看来,在当前云计算、物联网、三网融合等新一代信息技术发展的潮流中,开源软件有发展成为主导软件的趋势。 据悉,除微软外,以Google、Amazon、Yahoo、Wiki、Facebook等为代表的全球90%以上的云计算均在开源软件之上运行。不过开源许可证(除AGPL外)并不要求提供Web服务的软件开放源代码,这些应用着的开源软件未必对外全部开源。2010年二季度全球智能手机操作系统中,开放源码类(包括Symbian,Android,Linux,共占60.8%)已超过封闭源码类(包括RIM,iOS,WindowsMobile,共占37.4%)。Gartner预测,到2011年,至少80%的商业软件解决方案将包含实质性的开源软件。数量远超PC的云端和物联网设备软件平台大多将基于开源软件。 究竟何为开源?北京大学软件与微电子学院副教授文伟平向《经济参考报》记者介绍说,所谓开源,简单地说就是将软件的源代码公开。从公开的程度不同可以分为三种情况,第一种是全开源,即所有软件的相关代码和技术文档全部公开;第二种属于半开源,即将源代码分阶段公开或者只公开一部分,一般是先将上层的应用程序、用户级程序公开,下一步将接口程序公开,最后才将核心的代码程序,也就是内核代码、驱动程序等全部公开。第三种情况是商家对第三方权威机构开源,由第三方来托管,但不针对大众开源。文伟平表示,金山卫士的开源应该是商业安全软件在国内的首次,属于半开源。 文伟平表示,尽管目前国际上将安全软件开源的不多,但也是有先例的。如国外就有一款小型反病毒软件Clamav是属于跨平台适用的开源软件,可以应用于Linux系统和苹果机上。另外,近年来还出现了一款名为MoonSecure的反病毒软件,也是开源并奉行免费的策略。 安全软件开源是个趋势? 对于金山的开源之举,尽管并没有引得同行的广泛认同,但却引起了不少专家的赞同 倪光南认为,金山卫士的开源计划是符合当前潮流之举。但他也表示,安全软件开源应该趋利避害,应尽力避免由此带来的某些问题。至于软件究竟是开源安全还是不开源安全,历来有不同观点。但总的说来,对用户而言,开源软件确实更容易做到自主可控。 文伟平则认为,从短期来看,安全软件开源存在被某些黑客利用的可能,黑客通过研究分析,会发现现有安全软件存在的漏洞,进而利用这些漏洞对用户进行攻击。但从长远来看,安全软件的开源有积极意义,它将使得整个行业更加公正、透明,有利于更多的同行加入到开源社区,集众人之所长来发现现有产品的不足,并加以改进,有利于行业交流和技术提升。此外,软件开源后,查杀病毒的过程将是透明的,也利于用户自身对于代码的层次和现有的漏洞有更多的了解,从而有针对性地寻找其他途径来避免受到恶意攻击。从这个意义上,对于用户来说是更加安全了。 与此同时,他也表示,不排除某些用户考虑到开源后短期可能存在被攻击的可能,而选择其他产品,这对商家来说就是一种挑战了。 中国科学院软件研究所副研究员、工信部教育考试中心专家蒋建春也认为,开源将成为行业未来发展的主流趋势。从大局来讲,安全软件的开源可以说是行业的进步,是一种安全理论、商业逻辑、公司文化的创新,体现了一种分享的理念,将促进产业朝着低成本和技术创新的方向发展,从而将使安全服务发生新的变化。 但也有人不同意。某位不愿透露姓名的IT人士就表示,金山的开源之举不会对整个安全行业的发展趋势造成太大影响。虽然国外存在一些开源的安全软件和其他应用软件,但从中国人特有的消费和使用习惯来看,国内安全软件行业将逐渐走向免费,而不会是开源。 未来的安全软件将朝多样化发展 文伟平也认为,开源只是商家的一种行为,它不能解决所有问题,还需要相关部门机构以及用户的参与才能做到更加安全。 他表示,国内的安全软件行业缺少监管,比较混乱,产品没有经过统一严格的测试流程就走向了市场。通过此次的商家开源行为也希望能够引起国家相关部门的重视,加强机制建设,建立权威、专业的测试机构对公开的源代码进行公开的程序测试,作为反病毒产品投放市场的第一关口,并做好软件使用的后期跟踪,及时发现问题、解决问题。对于商家来说,也要鼓励民间力量去发现产品存在的安全隐患,汇集力量共同提升技术,才能从整体上保障环境的安全。 蒋建春认为,安全也不是仅靠技术就能解决的。软件厂商的技术更新只是一个方面,每一个终端用户的信息安全素质也亟待提高,到底什么是安全,怎样做到安全防护,相关软件有哪些注意事项,有哪些使用功能,又如何去操作,这就需要相关部门和机构加强对于普通用户的安全教育。 他表示,由于不同的群体、不同的机构所处的IT环境以及其需求有很大不同,绝对不能用一刀切的方法来解决所有的恶意代码问题,安全软件未来将朝着更加多元化、个性化和定制性的方向发展。他将未来分层次、分类别的安全软件比喻为“特效药”,它们将针对不同的用户需求来设计,具有更强的针对性和实用性。 |