毫無(wú)疑問(wèn)，對(duì)于擁有30萬(wàn)用戶規(guī)模的動(dòng)易公司來(lái)說(shuō)，軟件安全是一個(gè)關(guān)鍵而又影響極廣的問(wèn)題，確保開(kāi)源之后的動(dòng)易軟件安全，無(wú)論是對(duì)用戶還是對(duì)于動(dòng)易公司來(lái)說(shuō)都至關(guān)重要。

　　在數(shù)月前，動(dòng)易公司就已經(jīng)和國(guó)內(nèi)安全服務(wù)組織BCT （Bug.Center.Team，漏洞預(yù)警中心小組）簽署合作協(xié)議，斥資30萬(wàn)元邀請(qǐng)其為即將開(kāi)源的動(dòng)易軟件源代碼全面進(jìn)行安全檢測(cè)，以確保開(kāi)源后動(dòng)易產(chǎn)品的安全性，最大化保障用戶的利益。

　　眾所周知，安全性一直是開(kāi)源軟件與閉源軟件間爭(zhēng)論的核心之一。一般來(lái)說(shuō)，對(duì)于同一個(gè)軟件不開(kāi)源比開(kāi)源會(huì)顯得更加安全。一方面，對(duì)閉源軟件黑客不能直接獲得源碼而只能通過(guò)暗箱測(cè)試來(lái)尋找漏洞，大大增加了黑客進(jìn)行系統(tǒng)研究和利用漏洞攻擊的難度；而對(duì)于開(kāi)源軟件，黑客則可以通過(guò)閱讀和研究源代碼直接尋找系統(tǒng)漏洞進(jìn)行攻擊。另一方面，一般人認(rèn)為，開(kāi)源軟件在漏洞修復(fù)、安全更新方面會(huì)比閉源軟件更具優(yōu)勢(shì)，但實(shí)際情況卻并非如此。對(duì)于大部分的開(kāi)源軟件來(lái)說(shuō)，由于技術(shù)型用戶不多或軟件安全技術(shù)不強(qiáng)等原因，在漏洞修復(fù)方面往往仍主要依靠于軟件產(chǎn)商。而專業(yè)的黑客在發(fā)現(xiàn)軟件安全漏洞后，并不會(huì)無(wú)償提供給開(kāi)源廠商或社區(qū)，而是在小范圍流傳，甚至被一些不法分子利用于大范圍的系統(tǒng)攻擊以謀取暴利。在之前，由于動(dòng)易系統(tǒng)龐大的用戶量的關(guān)系，一個(gè)動(dòng)易系統(tǒng)的安全漏洞在圈子內(nèi)賣到了上萬(wàn)元的價(jià)格，這就是一個(gè)最好的證明。動(dòng)易公司也曾高價(jià)向相關(guān)人員購(gòu)買過(guò)漏洞，及時(shí)更新與發(fā)布程序補(bǔ)丁，以確保用戶網(wǎng)站的安全。

　　動(dòng)易在發(fā)展中一直視軟件安全為產(chǎn)品研發(fā)的重中之重，緊隨國(guó)內(nèi)外計(jì)算機(jī)技術(shù)發(fā)展步伐，在第一時(shí)間修復(fù)漏洞，不斷改善產(chǎn)品并發(fā)布安全公告。對(duì)商業(yè)用戶進(jìn)一步利用動(dòng)易短信通及時(shí)發(fā)送手機(jī)短信通知更新信息，以最大程度地保障用戶利益。

　　為了迎接即將到來(lái)的開(kāi)源對(duì)軟件安全的挑戰(zhàn)，動(dòng)易在數(shù)月之前便專門成立了小組對(duì)軟件源代碼開(kāi)展自檢自查工作。同時(shí)為了避免因自身知識(shí)與視野的缺陷而發(fā)生安全檢查遺漏，動(dòng)易以積極的態(tài)度巨資邀請(qǐng)了國(guó)內(nèi)安全組織BCT對(duì)動(dòng)易軟件進(jìn)行全面的安全檢測(cè)工作，以進(jìn)一步確保開(kāi)源后動(dòng)易軟件的安全性。根據(jù)合作協(xié)議，BCT將在動(dòng)易產(chǎn)品開(kāi)源發(fā)布前完成動(dòng)易產(chǎn)品的全面安全檢測(cè)，并提供相應(yīng)的報(bào)告和解決方案，協(xié)助動(dòng)易對(duì)產(chǎn)品中存在的安全問(wèn)題或隱患進(jìn)行及時(shí)和全面的處理；在動(dòng)易產(chǎn)品開(kāi)源發(fā)布后，BCT將持續(xù)進(jìn)行產(chǎn)品安全跟蹤，第一時(shí)間將有關(guān)漏洞提交給動(dòng)易進(jìn)行修復(fù)，以確保開(kāi)源后數(shù)十萬(wàn)動(dòng)易用戶的切身利益。動(dòng)易在確定了開(kāi)源政策后并沒(méi)有立即開(kāi)源，而是本著對(duì)用戶負(fù)責(zé)的態(tài)度做好相應(yīng)的準(zhǔn)備工作，相信這一舉措將有助于增強(qiáng)廣大動(dòng)易用戶對(duì)開(kāi)源后動(dòng)易軟件的信心。

　　未來(lái)，動(dòng)易將一如既往地重視動(dòng)易開(kāi)源軟件的安全性問(wèn)題，與BCT保持長(zhǎng)期良好的合作關(guān)系，繼續(xù)加大在軟件安全及檢測(cè)方面的投入。同時(shí)，我們也非常希望眾多的技術(shù)愛(ài)好者們能積極地加入到動(dòng)易開(kāi)源軟件的安全維護(hù)工作中來(lái)，協(xié)助社區(qū)發(fā)現(xiàn)并修補(bǔ)安全漏洞，共同維護(hù)廣大動(dòng)易用戶的切身利益。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　動(dòng)易軟件科技有限公司
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2007年11月21日

附：關(guān)于Bug.Center.Team
　　BCT又名漏洞預(yù)警中心小組，是國(guó)內(nèi)較早成立的以腳本安全為主要方向的網(wǎng)絡(luò)安全組織，致力于網(wǎng)絡(luò)和腳本安全問(wèn)題的研究，在對(duì)于腳本程序的修補(bǔ)、維護(hù)、漏洞檢測(cè)都有專業(yè)水平，是國(guó)內(nèi)最專業(yè)、最有經(jīng)驗(yàn)的安全服務(wù)組織，有關(guān)Bug.Center.Team的詳情請(qǐng)參見(jiàn)：。