Ubuntu中文论坛

【CSDN】安全公司Department of Homeland Security公布的数据表明，开源代码大致每1000行就含有一个安全漏洞。

流行的开源项目比如Samba、PHP、Perl等通常跟Web站点的一些原理相关联，Amanda（使用最广发的开源备份和修复软件）运行在50万个服务器上，他们均含有许许多多的安全漏洞和质量缺陷。

以Samba为例，Samba总共有236处缺陷，而它的代码共45万行，因而缺陷数远低于平均率，而且Maxwell（开源代码检测系统的创立者）在采访中表示，其中228处缺陷已经得到了弥补。

Linux的也远远小于平均缺陷率，Linux kernel的2.6版本的安全bug率为每一千行代码0.127个。Coverity Web 网站公布的数据显示，检查了kernel 的3,639,322行代码，452个缺陷已被修复（fixed），48个被校验（verified）而未修复，另外413有待校验和修复。

Apache Web服务器包含135,916行代码，每一千行有0.14个bug。3个已修复，7个被校验，仍有12个有待修复和校验；PostgreSQL数据库系统包含909,148行代码，，每一千行有0.041个缺陷，53个bug已被修复，37个有待修复和校验。

对于代码中存在的缺陷和漏洞，有些开源项目“响应”迅速，有些则比较慢。比如FreeBSD 在修正方面的步伐慢了一些，在总共1,582,166代码中，只校验了六个缺陷，仍有605个有待校验和修复；Firebird项目被确认又195个缺陷，然而它未修复和校验任何一个；而Firefox 浏览器项目已经修补了370 bugs，校验了56个，另有246个有待修复和校验。

Free Software Foundation的glibc或者Gnu C Library已经修复了全部83个bug。Gnu C Library被许多Linux的开源开发者所使用，是很少的几个没有错误代码的开源项目之一，考虑到它有588,931行代码整个成绩就更不容易了。

Linux用户界面的情况是这样的：KDE包含4,712,273行代码，已修复1,554个缺陷，校验了25个另有65个有待修复和校验。Gnome有430,809行代码，已经修复了357个错误，校验了5个，仍有214个有待修复和校验。

Maxwell表示，开源项目与商业产品的不同之处在于，商业公司很少承认他们产品代码的安全问题，“如果我们为商业公司做这种调查，他们一定会非常不高兴。”

结果出来一看，微软的每千行有500个错误，微软愤怒了，说：你们检测方法不对！

开源项目门槛低，项目代码质量参差不齐，这样一概而论显然不够科学。如果说我到 GoogleCode 上建一个开源项目，就我这种水平，每 50 行 1 个缺陷还差不多。这能算吗？反正又没人会去用我的。

但是常用的软件都是久经考验的

比如apache，开始的时候是有些bug，那是netscape的server可是风光无限，但是一个一个版本的升级上来，成为现在最稳固的系统之一。

关键就是模式，我用了，发现一个错误，提交了，解决了，问题就没有了。如果一个人变成500个人，事情就好办了。

而商业公司从运营角度这样显然不现实。

发现bug不可怕,尤其在开源里,这种软件开发模式本来就是让大家去发现bug的
就怕想某些商业软件,出了bug都不承认.比如M$的某些后门,好几年了都不承认

那多的代码，怎么可能做到万无一失呢！
当然会存在缺陷了。只要那些缺陷能够早日很到修复的话，也就无所谓了。

Eric S. Raymond在《大教堂与集市》里有句话：
只要眼球足够多，所有臭虫都好捉！

因为一般商用软件都是团队开发的，很多开源代码都是个人作品........

有人统计过
商业软件平均每25行一个bug

yjsword 写了：Eric S. Raymond在《大教堂与集市》里有句话：
只要眼球足够多，所有臭虫都好捉！

开放源代码，让所有人都可以看到代码，让所有人都可以参与修正，听上去好像很吸引似的，但事实上有多少用户真的会去研究代码(你把gEdit的代码全看一遍了吗？)，大部分人碰到问题最多是向开发者反馈一下而已，因此在bugs修正方面，开源软件与闭源软件都差不多，都是靠用户反馈意见，然后由开发者跟进，而正因为开源软件的用户数远比不上闭源软件，所以开源的比闭源的漏洞更多。。。

yjsword 写了：Eric S. Raymond在《大教堂与集市》里有句话：
只要眼球足够多，所有臭虫都好捉！

完全同意。想要 BUG 少，就要更多的开发者；想要有更多的开发者，就要有更多的用户。所以眼球才是王道。Ubutu 为例，即使它不够稳定，兼容性不够强，但是光凭使用简单又好看的 3D 桌面效果，足以吸引一大批人来关心 Linux。

command 写了： Linux用户界面的情况是这样的：KDE包含4,712,273行代码，已修复1,554个缺陷，校验了25个另有65个有待修复和校验。Gnome有430,809行代码，已经修复了357个错误，校验了5个，仍有214个有待修复和校验。

看来kde还是好一些吗！德国货不错