2.4 开源理念

“开源”即开放源代码,具有开源特性的软件(包括操作系统),其源代码对所有人开放,任何人均可以修改、使用、再发行这些软件。下面让我们来简单地了解一下开源。

相信大家都听说过GNU基金会基于Linus Torvalds开发的Linux内核创立的GNU/Linux(也称Linux)操作系统,它的许多发行版本例如Debian、Ubuntu、Red Hat等均为基于开源内核的再创作,广为程序员与技术人员所知。本书中提到的许多软件,如Virtual Box虚拟机等,也是开源软件。

开源软件并非如其字面意义一般只是简单地放出软件的源代码。开源软件需要配备开源许可证,不同的开源软件通常会因不同的开源目的选择不同的许可证,例如Linux内核使用的是GPL许可证,而Android系统使用的是Apache许可证。不同的许可证决定了大家可以如何使用这份代码,例如GPL许可证规定了任何使用了GPL源码的程序也必须用GPL许可证开源。常见的开源许可证有GPL、MIT、Apache、MS-PL等。开源软件在国外通常也被称为自由软件(Free Software),自由软件的一个关键特征就是它的许可证,不使用开源许可证发布的源代码在美国法律中依然被认定为专有(作者享有完整知识产权)软件,例如微软发布的Reference Source。国内在开源软件领域尚处于法律盲区,也造成了一些大型厂商无所顾忌,出现了不遵守开源协议的现象。

开源代表着自由、高效率和共享。作为程序员、开发人员的读者,可以使用源代码进行二次开发并再发布,也可以对原始开源项目进行拓展,将更改提交回原始代码仓库,使开源软件的特性更多、功能更强大、更易使用,同时提升普通用户的使用体验。这些对开源软件做出贡献的开发者也称为开源者,他们和其他为开源软件做出贡献的人员(例如进行本地化或参与测试的人员)组成了开源社区。近些年随着互联网的高速发展,开源在国内也越来越受欢迎,各类开源社区大量涌现,许多城市都有了当地的LUG(Linux User Group/Linux, Linux用户社组),还有一些类似AOSC(安同开源社区)这样专精于开发自己的开源软件/系统的社区。开源与开发者、使用者是相得益彰的,而它所体现出的自由、共享与探索精神,则与黑客精神在本质是相通的。

我们会在第4章讲到对开源CMS(Content Management System)的审计技巧,CMS即内容管理系统,随着Web 2.0时代的发展,越来越多的企业、个人在使用CMS建设网站。由于几乎所有CMS都开源,所以很多的CMS漏洞挖掘实际上是基于代码审计,也就是白盒漏洞挖掘。在阅读代码审计章节前,请先锻炼一下自己的代码阅读能力。