經常有人問我，是否他們真的應該相信開放源碼軟件(OSS)？換句話說，人們擔心的是：OSS到底是給我們帶來美好生活的天使，還是一個破壞我們生活的魔鬼？事實上，這問題早在Linux和各種BSD(Berkeley Software Distribution)操作系統產生之初就已經被提出來了。在現實中，任何一個組織或者企業在計劃使用某一個不是來自知名商家的自由軟件時，都非常地謹慎。作為一個慣例，一般都要投入大量的資金來對該軟件進行全面的檢測。
最近發生的一些事情更加劇了人們對OSS的擔心。在一些站點上有消息說，一個IDS(入侵檢測系統)在其安裝腳本中被加入了后門，任何人只要安裝了該軟件就會使得它的系統處于危險之中。而這個作惡的人對后門進行了偽裝，使得其看起來就像是正常配置過程中的一個部分。我們知道，后門是一種對系統做一些特殊處理，以便以后能方便、快捷地使用這個系統，而不被系統的主人所發現的做法。對于軟件系統中的后門，一般人都深惡痛絕，但又因為它的特殊功用，一些人對它趨之若鶩。很顯然，無論是在商業軟件中，還是在OSS中，后門都是威脅系統安全的主要因素之一。
自由軟件10多年來發展的事實證明，OSS還是值得信任的。并且，你可以采取一些步驟來確保你下載的軟件沒有被人進行過惡意的更改，方法是對下載站點的各種數字簽名進行檢查。

20世紀80年代以后，OSS后門的歷史開始困擾其發展。Unix開發人員希望并且相信他們的操作系統可以成為主流，而后門代碼在商業領域中是不被接受的。盡管如此，后門代碼并沒有完全消失。在這一時期里，最為大家所熟知的是微軟軟件里的后門。微軟的Excel里包含有開發人員的照片和各種各樣的小游戲。當然，要看到這些東西，你必需要知道如何調用這些后門，這就是所謂的“復活節彩蛋(Easter Eggs)”。相關內容可查看網址：http://www.eeggs.com/tree/279.html。當然，現在有很多Excel版本在使用，而不是所有的版本中都藏有游戲。
在20世紀90年代早期，用于OSS下載的FTP服務器是關注的焦點。因為如果有人在不被覺察的情況下侵入站點，并且對提供下載的軟件進行更改的話，就可能會有成千上萬的用戶在毫不知情的情況下下載并且安裝這些軟件。有一些人則會使用一些其它的途徑，比如把特洛伊木馬偽裝成一個安全軟件。最近一個宣稱專門用于檢測用戶系統弱點的工具實際上就會在使用它的系統上安裝一個后門。而該工具的確可以檢測到一些安全問題以及系統存在的弱點的列表。此外，在寫本文的前幾天(10月8日)，LinuxSecurity.com報道CERT/CC已經得到確認一些Sendmail的源碼包拷貝被入侵者修改，加入了木馬代碼。并且提醒使用、分發和鏡像站點應立即確認原數據包的完整性。
作為用戶，要保證下載的OSS軟件的安全性有幾種途徑。對于對編程狂熱的高手，他們會研究所有的源代碼，尋找可能存在的后門。一個比較簡單、快捷的辦法是對代碼進行掃描，查找可以進行網絡連接、執行命令或者打開文件的那些代碼。因為后門代碼一般來說做的就是這些操作。
事實上，對于很大的OSS軟件包，很少有人會這么去做。8.0版的BIND(Berkeley Internet Name Daemon)、OSS DNS等軟件的源代碼就有17萬行。在最近幾年，Bug一直在BIND中泛濫，因此產生了很多補丁程序。對于這種情況，對安全非常敏感的程序員只需要檢查新舊版本之間的不同即可。一般來說，每一個補丁程序只會對其中幾行進行更改或者添加幾行代碼。在現實中，大多數人都選擇信任軟件發行者，而不是嘗試去讀懂源代碼。雖然在一般情況下，這也是一個行之有效的方法，但是作為一個用戶又怎么知道自己所使用的源碼版本是否可信呢？
在2002年春，一些軟件發行版的站點被攻破，并且可下載的軟件包很有可能被進行了一些微小的更改。這兩個站點一個是IRC (Internet Relay Chat)軟件的站點，另外一個是 Monkey.org。其上有著名安全專家Dug Song寫的軟件fragrouter。
在上述兩種情況中，攻擊者對安裝OSS軟件時常用的安裝腳本進行了更改。這些腳本一般用于名字配置、搜索系統中軟件安裝的位置和配置安裝腳本以使其和目標系統相匹配。配置腳本通常會創建一個簡短的測試程序來查看目標系統中是否有需要的庫和功能。因為配置腳本由很多的檢測過程組成，所以攻擊者使得后門程序看起來就像在做一次正常地檢測。攻擊者把后門程序保存至一個文件中，編譯并且執行它，然后刪除源碼和編譯過的程序。一次成功的攻擊留下的唯一證據就是一個正在運行的程序，并且該程序會定時地嘗試連接到遠程的服務器。
如果連接遠程服務器成功，后門程序就會執行一個shell。這個shell和安裝該軟件的人具有相同的權限。這種類型的后門在進行對外連接時有很大的便利，很多防火墻都無法阻止這種行為。
作為OSS用戶，由于大部分OSS都遵從GPG(GNU Privacy Guard)，所以可以盡量避免由于有人對源碼的篡改帶來的影響。GPG是保證數據傳輸和存儲安全的GNU工具,它可以用于加密數據和創建數字簽名。GPG包括了高級的密匙管理工具而且遵循RFC2440中描述的OpenPGP的國際標準。 PGP(Pretty Good Privacy)是GPG的繼承者，它由Philip Zimmerman在1991年發布。
也許你從來沒有訪問過OSS站點，但是你很有可能見過簽名文件，只不過是并沒有意識到它的存在而已。軟件包的簽名文件一般會有一個容易讓人誤解的后綴.asc。它實際上是一個ASCII版的數字簽名。在網上，我們可以找到如何使用GPG或者PGP來檢查簽名和OSS軟件包關聯的方法。當軟件包的簽名檢測正確的時候， 你就可以確認它并沒有被篡改過。這時你可以相信對軟件包簽名的人。這個簽名密匙還處于保密狀態，也就是說在進行簽名的過程中，沒有人在源代碼中加入后門。

現在我們又回到了是否應該相信OSS的問題。人們經常容易提到的是由于沒有一個商業實體為OSS出現的缺陷負責，所以它并不可靠。事實上，今天大部分被廣泛使用的商業軟件中都有一個EULA（最終用戶協議書）。它規定商家在大部分情況下實際上并不對軟件出現的缺陷負責。所以有關負責的爭論根本站不住腳。
OSS的程序員在編寫或者維護軟件時一般都是無償的。這些程序員得到的回報是：如果寫出了很好的軟件，他就可以隨之聲名顯赫。因此，對于一個程序員而言，如果在其軟件中加入后門，后果無疑是毀滅性的。事實上，在現實中，那怕是一些與安全性相關的Bug，都會嚴重影響OSS程序員的名譽。
相比于那些為大公司工作的、永遠不會被公眾知道的程序員而言，OSS程序員對于軟件安全的要求擁有更強烈的愿望和責任感。此外，因為OSS程序員會把自己所寫的代碼公諸于眾，所以所有的人都可以對其進行檢查。在現實中，在完成某一項特定的工作時，OSS軟件無論是其性能還是其提供的安全性都要比相應的商業軟件要好得多。OSS在市場上不斷取得的成功，正是說明了其各方面的表現越來越得到人們的認可。
OSS提供了使用計算機所需要的工具。事實上，現在很多商家給用戶提供軟件時并不從中贏利，而是通過使用軟件來賣出其它的商品或者服務。事實證明，OSS有很好的安全性，或者說，它要比商業軟件安全。我們所要注意的就是在安裝一個開放源碼的軟件前對其源碼和簽名進行一下驗證。