被尊稱為Linux之父的Linus Torvalds前一陣子針對PaX Team的指控做出了反擊,PaX Team指控Torvalds與其他人對於程式的Bug沒有針對其安全性危害做出分類與警告。Torvalds則認為找出Bugs已經足夠,並不需要特別去強調安全性的問題。其他跟安全不相關的Bugs,數量甚至更多,也同樣需要加以修正,而過於強調安全性的Bugs其實並無助於解決所有的Bugs。他以為目前很多以做安全為名的人,誇大了安全的議題,甚至只是利用發現安全性的弱點來增加自己的知名度。他也提到了OpenBSD過於強調安全性,並且用了很不好聽的形容詞去描述其開發團隊-a bunch of masturbating monkeys(一群自己爽的猴子)。
對此,OpenBSD的相關成員倒是不想把問題擴大,所以自己打了一些圓場。最後,甚至說其實他們跟Torvalds雖然表面上看法有些不同,不過其實真正的想法是一致的。對我而言,有沒有一致並不重要,因為每個產品本來就有他不同的定位。所以,重點不在對開發者而言安全是不是最重要的,而是客戶對安全的需求是甚麼?或許用比較正式的說法,是Stakeholder(利害相關者) 對於安全的需求是甚麼?所謂的利害相關者,可能是使用者,也可以是付錢的客戶,也有可能是使用者的頂頭上司。所以只要是有關的人都算是利害相關者,而對需求有較強烈的影響的人就是重要的利害相關者。
當然,每個人對於自己用盡心力而誕生的產品無不抱以無限的期望與關愛。但是別忘了,沒有一個產品可以適用於所有的人。如果一個產品真的這麼不堪,市場自然會有一些機制加以淘汰。Linux擁有其支持者,OpenBSD也同樣有死忠的粉絲。並不能用支持者的多寡就決定誰對誰錯,只能說誰的方向是比較符合多數人的需求,而且是過去的需求。Torvalds對於Linux乃至於OSS的貢獻無庸置疑,但是用了不堪的言語來反擊他人的指控,我想只能說他畢竟還是一個人類。人類都有其脆弱的一面,這是無法避免,更不能因為這樣就說他是不好的。就像所有的安全機制一樣,再好的安全機制總有它無能為力的時候。如果我們在規劃乃至於使用時不能夠知道各安全機制的適用與不適用時機,終究是無法發揮其真正的功效。
我本身對於Linux有多年的使用經驗(從Kernel 0.x版就開始接觸了),也一直很肯定所有OSS作者的貢獻,對Torvalds那更不用說了。我想這樣的事件不會減少他的影響(或許還可以稍微增加),不過我還是期望他能夠少引起一些不會有結果的爭端。有時候,軟體的支持者跟宗教或政治的支持者沒有甚麼兩樣,除了理性以外,更是充滿了感性的一面。聰明的人,還是避免無謂的口水之爭才是上策。
原文出處:
Torvalds attacks IT industry 'security circus'
沒有留言:
張貼留言