说到数字安全这个话题,人们通常都会想到一个灰暗的未来——计算机、移动设备和其他系统都会成为恶意软件和网络犯罪潜伏的目标,它们会伺机偷走我们的数据和破坏我们的系统。我们当然有理由为此感到担忧,因为在过去几年已经出现了很多网络安全漏洞,比如Target的信用卡盗刷案,还有LinkedIn等网站的密码泄露问题。
数字安全是人们关注的重点,因为像数字安全一样能够影响到每一个人的问题其实不多,从个人到公司乃至整个国家都有可能受到数字安全的影响。那么数字安全的未来是什么呢?
其中一方面的讨论关注的是电子邮件加密的问题,Yahoo在Google和微软的协助下开发出了一个加密电子邮件系统。虽然加密这个方向是正确的,但是仅仅依靠加密可能还不足以应对安全问题。除了可用性的问题之外(例如不同平台之间的兼容性和人们重复使用相同简单密码的习惯),电子邮件只是数字世界当中的一部分——可以说只是局部的“攻击面”。
更全面地解决数字安全问题需要传统竞争对手之间的开放与合作。Facebook的TODO项目(Talk Openly, Develop Openly)就是很好的一个例子。TODO项目将Google、Twitter、Box、Walmart Labs、Dropbox等公司联合起来共同推进和改善开源项目。
将开源社区最优秀的实践方法应用到数字安全领域,这种做法可以提升项目的透明度和精英水平。例如在差不多20年前有一群Linux开发者聚集在一起打造一个新的操作系统,现在这个系统已经被运行在大量的企业IT、全球网络和电信设备之上,还有不计其数的智能设备应用,而且Linux还是建立物联网的一个动力来源。
另外一个很好的例子是Apache网络服务器的开发,在Apache之后,有一大批优秀的开源项目都在Apache Foundation的支持之下诞生了,包括Hadoop、Tomcat、Libcloud等等。这些开源项目的成功证明了在公开社区进行开发的优越性,因为只要有足够多的眼睛,就可以让所有问题浮现(Linus定律),而更少的问题意味着更高的安全性。
开源的开发方式也可以帮助开发者社区将黑帽子拒之门外。如果有人尝试在开源项目中加入恶意代码的话,这些代码会被整个社区的开发者查看和测试。跟闭源代码相比,这些恶意代码会更加开速可靠地被开源社区的白帽子开发者清理掉。
但是并非所有公司都准备好投入到开源的开发方式当中。最佳的开源安全实践需要企业放下传统的竞争模式,不同公司的人员应该为了更大的利益携手合作。要实现更高的透明度,有时候还需要牺牲企业的一些保密内容。
这些代价相对于数字安全问题来说是相对较小的,因为这是一个重要的全球性问题。正如我们对其他重大危机的处理方式(环境问题、全球安全以及最近的病毒威胁),仅凭个人或者一家公司(甚至一个国家)的力量是无法应对数字安全的挑战的。只有通过开放和协作才能在数字安全的军备竞赛中获胜。