开源软件一直被视为替代专有软件的一个灵活、低成本和安全的方案：它独立于平台，由许多的成员开发和维护，并提供价格合理的授权，甚至是可以完全免费地使用。不同于Windows系统之类的专有软件，开源软件不太容易出现类似美国国家安全局可以访问IT系统而不被发现的后门。类似的隐藏漏洞或者编程错误，能够通过检测和双人监控原则迅速地被发现并加以补救。然而，近期OpenSSL加密软件代码中的Heartbleed漏洞并没有被发现，这一漏洞虽然极其微小，但却影响了全球约三分之二的服务器，对于互联网的数据安全有灾难性的影响，同时也使全世界开始质疑开源软件的安全性。

不过，IT专家彼得·霍夫曼认为，开源软件还是很安全的。并以他大约10年前在慕尼黑市议会介绍的Linux开源操作系统LiMux为例，进一步地进行了说明：“LiMux通过一个稳定的团队开发维护，除了定期发布补丁之外，在出现大问题或者重要的更新时，我们还将与外部的服务提供商一起提供技术支持。”对于OpenSSL出现的问题，彼得·霍夫曼认为OpenSSL的情况完全不同，OpenSSL的8名正式员工中，目前仅有3位全职员工，大部分员工都是志愿者，他们有自己的本职工作，参与OpenSSL的开发只因认同开源文化或者纯粹为了编程的乐趣。而OpenSSL项目的资金完全依靠捐款，一年获得的资助仅有大约2 000美元。OpenSSL软件基金会主席史蒂夫·马克斯在他的博客中用“既不现实、也不恰当”描述了OpenSSL目前的状况，他呼吁企业和政府不要把使用OpenSSL作为理所当然的事，应该为OpenSSL做一些事。他的呼吁得到了积极的回应，除了罗永浩直接向OpenSSL项目捐助100万元人民币以外，Google、Facebook和Amazon也准备捐助支持Linux基金会推动开源项目的新举措。任何软件，无论是开源的还是专有的，只要是好项目都可以向该基金会融资。

信息

开源项目的隐患

Firefox

2010年，Windows版本的Firefox浏览器出现了一个零日漏洞（急性和危险的未修补安全漏洞），攻击者可以完全控制系统。

Apache

2013年，数以万计采用Apache的Web服务器感染了Darkleech木马，该木马将在服务器页面上嵌入恶意代码，对浏览页面的用户进行攻击或转向其他恶意站点。

MySQL

2012年，数据库服务器软件MySQL出现身份验证漏洞，导致互联网犯罪分子盗取包括Flickr、YouTube、Google、Facebook和Twitter等许多服务商的用户密码和配置文件。

OpenID

2014年，第三方登录协议服务供应商OpenID出现了一个安全漏洞，通过它黑客可以访问用户的机密数据。Google、Facebook、微软和PayPal等Web服务均受到影响。endprint