注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

宏毅

IT,定位决定价值。

 
 
 

日志

 
 
 
 

源代码托管背后的逻辑  

2010-04-11 21:50:11|  分类: IT博客日志 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

源代码托管背后的逻辑

宏毅

最近安全企业360有“惊人之举”——将360源代码交给中国信息安全评测中心托管,在需要的时候,可以委托该机构组织专家对源代码进行查验,以确定360是否作恶。

外界应该如何评价360这一“出格”行为,我暂时不表。我们先来看看,对于源代码,究竟有几种处理手法以及其利害关系。

第一种:源代码是企业的核心竞争力,也是企业最高商业机密,所以源代码只有企业自身保管,并授权给企业内部开发人员访问。这种策略是最普遍的,这次谷歌推出中国事件中的“黑客攻击”,据说就是外界通过给谷歌中国的员工电脑上种木马,再借由其访问谷歌中部源代码服务器的权限来打开安全的口子。和谷歌一样,绝大多数IT公司都有自己的源代码服务器,并有严格的授权访问机制,公司与员工之间也有严格的保密协议。

第二种:开源。Linux等软件是开源的先锋,但在安全领域,没有任何一家商业公司会“傻”到将自己的源代码向公众开放——如果开源,就意味着开源社区与黑客界都同时能看到,如果开源社区的力量不能足够强大,黑客就很容易抓住漏洞,编写针对性的破解软件,对用户造成巨大损失。

据说360曾经考虑过开源,也联系过国内的开源社区探讨可行性,但最终结论:开源是在玩火,对中国互联网可能意味着灾难。只能放弃。

第三种:接受国家主管单位的监管,在中国安全杀毒领域,监管部门是公安部和工信部。公安部可以查验这些软件,审核其安全性,并核准是否授予杀毒软件销售许可黄标。现在公安部发放的黄标分为三种,分别为杀毒许可、反间谍许可、防火墙许可。

在杀毒行业里,一款杀毒产品必须经过公安部严格的检测,然后申请到黄标才能在市场上公开销售杀毒软件。对于消费者而言,在购买杀毒软件时候,辨别真伪最容易的方法就是看杀软产品上有没黄色LOGO标——公安部签发的销售许可黄标。目前安全领域的软件都采用这种方式,因为国家主管单位在管理上也是这样要求的。

第四种:托管源代码,向用户开放。这就是360采取的方式。我们可以对比一下“托管”和“监管”的区别——安全软件是否“作恶”,其利害对象应该是用户,而非监管部门,因为如果安全软件“作恶”,那么用户是直接受害者。也就是说,“托管”相当于有条件地向用户开源,测评中心可以在接到申请后,对信息技术产品及其代码进行检测,查明其有无安全隐患,及是否符合国家标准规定。也就是说,用户和杀毒软件厂商之间被第三方给连结起来了。

“托管”,源代码被有选择地公开了,既避免了开源的危害,又做到了公开。与国家主管部门的监管相比,托管的优势在于,监管是静态的管理,监管起到的作用主要是主管部门给出了一个“这个杀毒软件没问题”的鉴定。而托管,是动态的管理,用户随时有权去质疑,然后让托管方去查验。

这里我提到了一个“利害方”,其实类似的“托管”也用在了其他领域。比如微软要想进入中国市场,面对中国消费者,它的源代码是可以不公开的,只需要接受监管部门的检测即可。但如果它需要参与中国的政府采购,其“厉害方”就成了中国政府,它就必须向中国政府证明自己不会“作恶”,所以微软选择了“托管”,并且托管方也是与360同一家的中国信息安全评测中心。如果政府源代码有任何疑虑,就可以委托评测中心进行查验,也方便取证。

由此可以看出,在安全领域,选择哪一种处理源代码的方式是企业的自由,但哪一家做得更深入,更关联利害,不言自明。

  评论这张
 
阅读(424)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017