当我听说最近曝出的xz Utils中的后门漏洞时，我深感震惊的不仅是这个漏洞可能造成的严重后果，还有它被迅速解决的速度。这个至少策划了一年之久的恶意计划，在发布后不久就被揭露了，而且只有少数几个发行版（这些发行版通常不会被企业用于生产环境）还在使用受影响的版本。作为一名开源企业家和开发者，这件事让我更加坚信，在我们这个开源社区里，漏洞是很容易被发现的。

但是，我的很多客户却并非如此认为。尽管开源现在已经被科技界广泛接受，但我公司TDengine服务的传统行业却并非全都接受。虽然这个后门漏洞似乎并没有对实际系统造成损害，但至少暂时影响了开源软件在人们心中的安全形象，一些旧的争论点和误解也开始重新出现。

关于信任的问题

上周初，由于这个问题是一个新鲜话题，我开始接到用户的电话，并接收到潜在客户对开源软件安全性的担忧：“既然每个人都能看到代码，那岂不是说他们可以随时攻击？你们岂不是在给不法分子提供攻击我们系统、窃取我们数据的工具？”

我们这些在开源社区摸爬滚打了一段时间的人，对这类言论早已司空见惯。闭源软件供应商在上世纪90年代和2000年代曾极力鼓吹此类观点，直到他们意识到从开源中也能获得利益。对于那些长期依赖闭源软件的企业，如制造业和能源业，通过黑箱来保障安全的观念似乎颇有道理。

此外，这些行业作为国家基础设施和经济的支柱，自然成为了黑客攻击的重点目标。系统稳定与信息安全不仅对企业运营至关重要，对于广大使用其服务或购买其产品的民众来说也同样不容忽视。因此，这些行业的客户对安全性要求极高，对于任何缺乏信任的软件系统，他们都会持有谨慎和审慎的态度，这是完全可以理解的。

开放讨论，公开解决方案

我要提醒我的客户的是，闭源软件与开源软件一样可能存在安全漏洞——但你不太可能听到有关闭源软件漏洞的消息。你真的相信供应商每次在代码中识别出安全问题时都会通知你吗？在大多数情况下，除非有法律要求披露，否则他们都会掩盖问题，你可能永远都不知道自己是否面临风险。这带来了更大的危险，因为当你不知道威胁时，就无法缓解它们。

另一方面，当软件开发采用开源模式时，众多开发者都可以对每一行代码进行审查。像TDengine这样的开源项目并不会遮掩在闭源许可之下，而是积极邀请所有开发人员共同查找漏洞。在这种模式下，客户大可放心，安全问题会迅速被公开发现并得到解决，确保他们能在威胁升级之前及时采取行动来减轻或消除风险。

事实上，闭源软件同样存在被不法分子利用的风险——就拿微软来举例，尽管其大部分产品都是闭源的，但微软对漏洞并不陌生。就像我们不能因为制造商没有公布锁的示意图就认为它无法被撬开，保险箱无法被破解一样，软件又怎能例外呢？实际上，那些不公开源代码的软件供应商并非在阻止坏人的入侵，他们只是阻止了那些好心人提供帮助的机会。

对于工业企业来说，闭源软件更安全的神话必须终结。这些企业往往不具备豪华的大型IT部门，而是仰仗供应商来保障产品安全。通过转向开源，它们将能够无成本地获得一个由专家组成的社区的支持，这不仅有助于监督供应商的诚信，更能确保系统的安全无虞。