为什么 ImageMagick 这样的开源软件也会引入如此严重的安全漏洞?

2016-05-05 09:13:05 +08:00
 zvving

安全漏洞介绍在这里: 安全预警: ImageMagick 图象处理软件存在远程代码执行(CVE-2016-3714) - FreeBuf.COM | 关注黑客与极客

LZ 知道开源不是万能的,不过 ImageMagick 这样流行的开源软件必然有少部分外部开发协作维护,为什么也会让这样严重的安全问题代码入库?

有了解类似情况的前辈能科普下不?

6696 次点击
所在节点    程序员
37 条回复
function007
2016-05-05 09:17:20 +08:00
OpenSSL 笑而不语
tony1016
2016-05-05 09:19:45 +08:00
安全 bug 本来就难以被发现。 openssl 比这货更流行,不也心脏出血
congeec
2016-05-05 09:23:54 +08:00
开源的好处在于代码有很多人看,能发现部分 bug
当然,代码写的太乱谁也救不了。你看,一楼很懂
zkd8907
2016-05-05 09:29:47 +08:00
开源!=安全
akagi
2016-05-05 09:30:27 +08:00
复杂的边界条件没那么好判断
realpg
2016-05-05 09:31:33 +08:00
LZ 被迫害妄想症泛滥么

这是作者故意写的? 2333333
youxiachai
2016-05-05 09:32:54 +08:00
lz...压根就不知道一个安全漏洞..是历经何其复杂的过程.才被发现.......
m8syYID5eaas8hF7
2016-05-05 09:35:41 +08:00
@youxiachai 对,之前看 struts 那个漏洞的分析贴,不认真看源码真的是什么都发现不了。。。。
Testalias
2016-05-05 09:39:08 +08:00
NTP 也爆出漏洞了
akagi
2016-05-05 09:40:58 +08:00
@youxiachai +1 不过自动化工具可以代劳一部分
xcodebuild
2016-05-05 10:00:20 +08:00
只要是软件都会有 bug 。。和开源不开源没关系
sunsh217
2016-05-05 10:07:40 +08:00
免费给你用就不错了,还鸡鸡歪歪。 不想用可以不用。
xbb7766
2016-05-05 10:14:14 +08:00
Openssl 和 bash 发来贺电
leavic
2016-05-05 10:39:34 +08:00
我从来就不相信别人写的代码
loading
2016-05-05 10:42:06 +08:00
对于开源项目,说句实话,大家都忙于完善功能,对于安全方面,很多都只修正浅显的漏洞。
harry890829
2016-05-05 10:43:22 +08:00
然而,还有一部分人专门 review 代码找 bug 的,找到了拿到黑市卖……
GeekGao
2016-05-05 10:50:25 +08:00
鄙人之见,代码中的安全问题往往是经验问题。 contributor 们虽然会写代码但并不一定有很强的意识去 review 代码做安全审查
ragnaroks
2016-05-05 11:29:52 +08:00
@loading
+Max
foonsun
2016-05-05 11:35:55 +08:00
openssl 笑了~
dphdjy
2016-05-05 12:30:39 +08:00
@leavic 我连自己写的都不相信 :doge:

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/276418

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX