开源且好用,确实这么多年一直没寻到什么。
但是我说一点:全球 top 银行、支付卡组织、支付中介、巨型 PCI DSS 合规商户,都在大量使用包括 SSH 客户端在内的不计其数的闭源软件。
同时提醒大家思考几个问题:
1. 开源代码为什么被认为是安全的?(没被公众 review 出问题的黑历史有不少)
2. 以二进制分发的“开源软件”如何证明其 100% 源自被认为安全的源代码?
3. 你如何保证你下载的源代码副本一定是经过公众 review 的副本?(保护你的 HTTPS 客户端及根证书信任,保护 SSH key 基础设施、key 操作及存储)
4. 你如何确定来自受信任 contributor 的关键版本控制操作( commit / merge )真的来自此名义上的 contributor? (ferify signature / 信任平台 (GitHub) 的 MFA)
5. 你如何肯定你下载的二进制副本一定源自受信任的编译者?(二进制文件数字签名 / 与可信分发平台的可信通信)
总结:供应链安全道阻且长,理论基础、意识、决策、操作,需要大家共同努力,不是“开源”二字就能解决的。 |
