今天看到《軟件世界》中關(guān)于開源的文章，講到開源一個(gè)好處：對(duì)于開源軟件而言，每天都有人在看源代碼，隨時(shí)都可以發(fā)現(xiàn)問題，隨時(shí)報(bào)告，有能力的就自己把安全問題修復(fù)了，然后發(fā)布出來(lái)給大家分享。然而我對(duì)此始終感到有些不對(duì)勁，卻一時(shí)又不知道到底哪里不對(duì)勁。聯(lián)想起最近鬧得滿城風(fēng)雨的動(dòng)易安全漏洞事件，忽然想到，這個(gè)“好處”對(duì)于使用開源CMS的網(wǎng)站來(lái)說(shuō)，可能是一個(gè)最美麗的謊言和最大的惡夢(mèng)！

對(duì)于一般的只是個(gè)人在自己電腦上使用的軟件（比如輸入法、小工具），開源的這個(gè)好處應(yīng)該是很明顯、很正確的。但CMS與其他軟件產(chǎn)品不同，它是網(wǎng)站的運(yùn)營(yíng)基礎(chǔ)，它不僅僅是站長(zhǎng)在使用，還接受著各種各樣的人群的訪問，這里除了正常的訪問外，每天還有大量的惡意訪問。如果CMS是開源的，則研究源代碼的除了用戶和愛好者以外，還有另一類人——“黑客”。現(xiàn)在的黑客很少有純粹只是為了研究技術(shù)的，特別是尋找CMS這樣的應(yīng)用系統(tǒng)的漏洞的黑客，根本就沒有太多的技術(shù)和道德可言。他們研究CMS的漏洞只有一個(gè)動(dòng)機(jī)，那就商業(yè)利益。近年來(lái)，大家發(fā)現(xiàn)自己的網(wǎng)站被黑后，黑客好像并不刪除數(shù)據(jù)，一般都只是加一個(gè)iFrame之類的病毒頁(yè)的調(diào)用，為什么呢？因?yàn)楹诘粢粋€(gè)網(wǎng)站的利益很小，而將網(wǎng)站加上惡意代碼，讓訪問網(wǎng)站的人中病毒或木馬利益則非常大。通過(guò)“黑”掉一個(gè)網(wǎng)站，讓成千上萬(wàn)的用戶中毒，最后形成龐大的“僵尸網(wǎng)絡(luò)”，以達(dá)到更大的利益。

對(duì)于絕大部分的用戶來(lái)說(shuō)，并不具備修改代碼的能力，這樣的話，開源的CMS系統(tǒng)對(duì)他來(lái)說(shuō)，與閉源并無(wú)二異。但對(duì)黑客來(lái)說(shuō)，研究開源系統(tǒng)中的漏洞要比研究閉源系統(tǒng)中的漏洞容易得多。對(duì)于開源的系統(tǒng)，黑客可以通過(guò)閱讀源代碼直接尋找漏洞；而對(duì)閉源的CMS系統(tǒng)，則黑客只能進(jìn)行暗箱測(cè)試來(lái)尋找漏洞，這樣的難度要比在源代碼中找漏洞難得多。所以，從這個(gè)角度來(lái)說(shuō)，同一個(gè)系統(tǒng)不開放源代碼要比開放源代碼相對(duì)安全得多。

另一方面，CMS的開發(fā)商還沒有誰(shuí)敢保證自己的系統(tǒng)沒有任何安全漏洞。因?yàn)椤扒Ю镏?，毀于蟻穴”，開發(fā)商要開發(fā)出比較安全的系統(tǒng)，需要付出極大的努力，但仍可能會(huì)因?yàn)榘倜芤皇?，只要一個(gè)地方?jīng)]有注意，就有可能讓黑客找到漏洞。而黑客只要找到一個(gè)漏洞，即可讓開發(fā)商辛苦建立的安全防線崩潰。一個(gè)是寫代碼，要做各種防護(hù)手段，一個(gè)是研究代碼，只需找到一個(gè)漏洞即可，開發(fā)商和黑客之間的較量，永遠(yuǎn)會(huì)是黑客占盡上風(fēng)！

動(dòng)易一直將安全問題列為公司的重中之重，在安全方面投入了大量的人力物力，反復(fù)對(duì)代碼檢查了多遍，可以自豪的說(shuō)在同類軟件中絕對(duì)是最安全的。但即使在已經(jīng)發(fā)布了自認(rèn)為最安全的SP5后，還是因?yàn)镮IS的一個(gè)漏洞讓動(dòng)易出現(xiàn)了最嚴(yán)重的安全漏洞，實(shí)在是讓我們感概不已?？赡苁菢浯笳酗L(fēng)吧，現(xiàn)在動(dòng)易是國(guó)內(nèi)市場(chǎng)占用率最高的CMS系統(tǒng)，使用動(dòng)易的網(wǎng)站超過(guò)了20萬(wàn)，同時(shí)也引起了許多黑客的興趣，他們以尋找動(dòng)易的漏洞為榮（或者是出于利益需求），在找到漏洞后并不公布，而是用來(lái)黑掉一個(gè)個(gè)站點(diǎn)，在網(wǎng)頁(yè)上加上木馬代碼。我們則只能一遍又一遍的檢查代碼，甚至反向思維從黑客的角度來(lái)查找動(dòng)易的漏洞，直到今天，我們已經(jīng)修復(fù)了所有已經(jīng)發(fā)現(xiàn)的漏洞，但我們不敢保證系統(tǒng)中就沒有漏洞了。我們與黑客之間的斗爭(zhēng)將一直繼續(xù)，直到……

總結(jié)：開源，永遠(yuǎn)是把雙刃劍！無(wú)論是對(duì)開發(fā)商還是最終用戶。

現(xiàn)在，你還敢用開源的CMS系統(tǒng)嗎？