回推文。 source code公佈出來給人review, 就算是99%的漏洞都被堵住 01/31 12:35 → lgd1008:但只要有0.01%的漏洞,沒被發現沒被堵住,令有心人有機可趁, 01/31 12:37 → lgd1008:那麼前面堵住99%漏洞的努力都是徒勞無功... 1. 作業系統不是基於某種了不起的神秘智慧開發出來的，而是利用早就成熟的技術 與架構規劃策略為了滿足確定的需求而實做的。 2. Open Source的軟體發展成敗，不是建立在寫得程式碼有多取巧上面，而是有多少人 可以參與貢獻並進行開發。程式碼的可讀性與社群的回饋修正的難易決定了這個軟體 專案的壽命與受歡迎度。也就是說，越多人用、社群越大的OSS 就是在這種回饋機制 上做的最好OSS project。 簡單講，一個夠大夠有指標性的OSS，它裡面的程式碼如果你覺得很難看不懂，那是 你還不具有處理那種水準問題的能耐，不是它想把程式碼寫得讓人看不懂。 對思考該領域問題非常透徹的人來說，那通常都是可以想到、找到最簡潔好控制的 方案。 我自己就是個OSS開發者，我在追程式的時候，常常會感覺到寫這段程式的人在跟 我說：『有種就開一個更好懂、簡單而且確實滿足我的條件的架構出來』 3. 如果你講的那種漏洞真的存在，而這世上所有其它參與這個專案的人都沒挖出它。 那要嘛這個專案參與的人太少、水準也不夠。 要嘛，那個人絕頂聰明，世上無雙 如果是前者，這個專案也就不重要，擔心一個不重要的專案的漏洞幹麼？ 如果是後者，根據經濟學原理，去搞一個閉源且對世界來說影響很大的軟體賺更 大，且漏洞會存在更久。 4. 至於徒勞無功...開源的有漏洞沒被發現就是徒勞無功。那私有的有漏洞卻沒被 發現呢？ 還是你想說的是： OSS有被review過的都找不出來，那以後肯定也沒希望了，而私有封閉的起碼code 都還沒被review過，所以還有被找出來的希望嗎？ 如果這就是理由，那就表示你可能相信寫閉源程式的都是一群比較『高級』、 『聰明』的人。他們只是人數不夠多去review程式、同儕審查而已，只要他們 『願意』『有時間』他們的東西就是會比較沒有洞。 我只能說真是了不起，可惜漏洞就是漏洞，而Win XP上的IE6 從SP1 一路爛到SP3 ，就別提上個世紀的Windows 98了。 也許等夠久這些閉源軟體的洞會有人補，那要不要順便想想開源軟體的洞在這段 時間裡會被發現並修掉多少呢？ -- 我所信仰的科學是一種謙卑的理性，承認自身的無知與渺小才能觀察到世界在我們貧 弱的知覺上留下來的痕跡。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 72.21.245.243