开源代码的安全战役，有没有另一种打开方式？

无论从哪个角度看，开源代码的安全战都是一场十分必要、不容退却的全民战争。当然了，普通用户只能打call，冲锋陷阵的还得是软件公司和程序员们。

对此，产业界也开始拿出了一些试图从根源上解决问题的办法。简单说几个：

一、漏洞奖励

2012年，谷歌推出了Chrome奖励计划和漏洞奖励计划，鼓励程序员找出其浏览器及在线服务中的具体弱点，使得广泛使用的开源软件尽可能不那么容易遭受攻击，并为此支付500到3133美元不等的报酬。2013年，美国国家安全局也拨出了2510万美元，用于“额外秘密购买软件弱点”。

如今，漏洞赏金计划已成为许多互联网公司的重要安全策略之一，微软推出了迄今为止最高的Windows Bug奖励计划，达到250000美金。苹果、美国国防部、Facebook、腾讯、阿里ASRC、百度等为其漏洞支付的总金额也非常的惊人。

重赏之下，安全漏洞的时间差也有望有效减少。

二、新技术工具

无论是防止源代码中的信息泄露，还是要寻找恶意文件、阻止恶意进程、保证端点安全，都有越来越多的技术工具可供使用，许多云安全公司和运营商等也都开始参与安全工具的开发。

比如最近的开源领导者峰会上，Linux基金会就宣布了Red Team（红队）项目。新项目将孵化开源网络安全工具，以帮助提高开源软件的安全性。

作为开源安全工具的孵化器，Red Team支持网络范围自动化，容器化渗透测试工具，二进制风险量化和标准验证程序等。并且能够在云上模拟黑客攻击，用户可以部署黑客脚本，并对现实中的团队进行安全培训。

诸如Commit Watcher等种种开源工具的出现，帮助程序员查找潜在危险失误，也正在使软件开发过程变得大不相同。

三、加密算法

如果我们将数据信息看做是网络世界最宝贵的财富，那么加密机制就是一个可以保护数据的保险箱。除了将箱体打造的更加水火不侵，“锁芯”这道防线也需要不断迭代。

尤其是现在越来越多的机构与企业选择云计算技术作为复杂业务的解决方案，开源云平台的安全问题也更加速咋，因此，数据加密算法的解决方案就显得尤为重要了。

像是可以对企业数据进行安全分级，对等级高的数据先采用对称算法进行加密，并将对称算法产生的秘钥进行非对称加密存储，从而兼顾数据和安全性，以及系统运行效率。

在硬件端，谷歌也刚刚推出了针对低端手机的新加密标准Adiantum，在没有足够计算能力芯片的前提下，也能实现高速计算来进行哈希算法加密及解密，从而提升终端设备的安全性能。

从长远来看，开源社区更加灵活和开放的构建方式，会令它继续成为开发江湖的“根据地”。但当开放与自由成为双刃剑，又成为一个流着“奶与蜜”的数据丰饶之地，就很容易被不法之徒虎视眈眈。至少从GitHub这件事上看，开源代码的安全问题，应该已经来到了一个危险的临界点，也给一直以来“违规飙车”的业界敲响了警钟。

用开源软件的倡导者Eric S． Raymond的话来说——高质量的代码，就是对程序自己最好的注释。（作者：脑极体）