美國土安全部報告：開放源碼軟體安全性高於商用軟體

美國國土安全部（DHS）為了解開放原始碼軟體是否安全，於今年1月展開一項為期3年、總計124萬美元的計畫，透過史丹佛大學、資安廠商Coverity和賽門鐵克共同合作，目前第1階段測試結果已經出爐，受測的32項開放原始碼軟體中，過半的安全性優於商業軟體。

美國有許多國家基礎建設，包含能源、核能、水、電、通訊、交通等硬體建設，或者是火星登陸等，都是透過軟體控制，而這些軟體大多都是採用開放原始碼（Open Source）開發而成，因此，這些開放原始碼的軟體是否夠安全，關係著這些國家基礎建設的安全性。猶有甚者，美國政府有許多軟體委外專案，都進一步做到境外委外（例如印度、中國大陸），而這些軟體在委外開發過程中，是否會被加入不必要的程式碼甚至後門程式，也攸關政府資訊系統的安全。

國土安全部為了想確認這些開放原始碼開發軟體的安全性，發起了一項名為「開放源碼弱點檢測及修正計畫（Vulnerability Discovery and Remediation Open Source Hardening Project）」的專案，針對包含LAMP（包含Linux作業系統、Apache網頁伺服器、MySQL資料庫管理系統，以及Perl/PHP/Python腳本語言）在內等32項開放原始碼軟體，採用史丹佛大學自動源碼檢測工具，總計掃瞄了1750萬行程式碼，32項開放原始碼軟體利用3.2GHz的平臺，總計掃瞄27小時，事後針對工具篩檢出來的漏洞，再輔以人工複檢確認。結果發現，這些開放原始碼軟體每1000行程式碼，掃瞄出來的平均漏洞為0.290個，在同樣的環境下，針對所選出來的基準商用軟體，每1000行程式碼，掃瞄出來的平均漏洞為0.434個，顯示前者安全性較高。

另一方面，這32項開放原始碼軟體中，經過檢測，有過半（20項）開放原始碼軟體的平均漏洞低於基準商用軟體；其中，包含Linux、Apache、MySQL、PHP等6個常用的開放原始碼軟體中，除了PHP的每千行程式碼平均漏洞，高於基準商用軟體外，其餘都比基準商用軟體的漏洞少。

雖然有人認為Linux等開放原始碼軟體安全性較高，是因為比較少人使用，讓利之所趨的駭客缺乏攻擊的動機，但此次的檢測結果則證明了，多數開放原始碼軟體本身就比較安全。

曾經參與中央研究院資訊所所長李德財帶領的源碼檢測計畫，且論文曾獲得WWW 2003、WWW 2004最佳論文的阿碼科技（armorize）創辦人兼執行長黃耀文表示，雖然從1960年代就開始發展自動源碼檢測工具，不過技術直到近年來才趨於成熟；而軟體是人寫的，只要是人寫都會有錯誤，而這個錯誤難以避免的觀念，則從1980年代以來，都深植在軟體開發人員心中。

黃耀文說，直到2002年史丹佛大學一份研究報告指出，軟體缺陷、漏洞每年將使得美國政府損失超過600億美元，但這些軟體缺陷、漏洞若能及早發現、即時修補，每年可為美國政府節省220億美元。也因此，近年來，不論政府部門、學術單位甚至資安廠商，都積極提出軟體安全觀念和修補方案。

美國國土安全部這項專案才剛起頭，整個專案小組在驗證過開放原始碼安全性比商用軟體高後，接下來將要找出來，怎樣的程式漏洞對系統開發而言最為致命；什麼樣的因素會導致程式致命的錯誤；是否還有其他的工具或方式，可以預測或偵測程式開放原始碼的漏洞等。文⊙黃彥棻