坦率地說:您的代碼充滿了安全漏洞。同樣糟糕的是，你的員工在密碼和其他侵入你數據的方法上也很粗心。

因此，盡管我們可能會對塔吉特(Target)、摩根士丹利(Morgan Stanley)或其他數十起安全漏洞束手無策，但事實是，你的公司尚未被攻破的唯一原因，就是黑客懶得去嘗試。然而。

再多的生物識別技術也無法修復這些缺陷。沒有專斷的工程方法。沒有什么可以修復等待發生的軟件安全漏洞，這就是您的代碼庫。

也許，除了開源。或者，更確切地說，是一種開源方法。

從來沒有編寫過完全安全的軟件。無論如何，不是任何人實際使用的那種。

因此，當Pushd的工程師本·切里(Ben Cherry)說所有軟件都有缺陷時，我點頭表示同意:

可怕嗎?是的。但是標準的操作程序呢?也沒錯。

多年來，開源世界一直標榜自己是解決軟件漏洞的答案。按照這種思路，必須公開源代碼的開發人員——就像把內衣穿在其他衣服上一樣——往往會編寫出更好的代碼。

這是一個很好的，直觀的想法。就目前而言，這是對的。

畢竟，多年來的研究表明，平均而言，開源軟件項目的缺陷要比其專有項目少得多。但是“少”并不等于“沒有”。

“沒有漏洞”也不是重點。

“沒有漏洞”不僅是一個不可能實現的目標，而且也沒有必要。如前所述，開源給安全性帶來的價值與初始代碼質量關系不大，而與最終的解決方案處理關系很大。

考慮到所有軟件都存在安全漏洞，最好的軟件應該是那些能夠讓感興趣的、有能力的開發人員組成的社區來修復它的軟件。

有時這種修復會在漏洞被利用之前出現，但通常不會。很少有開發人員有時間或方法在發現這些bug之前發現其他人代碼中的缺陷。

不，唯一能找到這些漏洞的是那些寄生黑客，他們想把你的爛代碼變成爛錢。是的，你可能會做各種各樣的測試來首先找到缺陷，但是你會失敗。只是洞太多了。總是這樣。

與其假設原始代碼，不如假設有缺陷。有了這樣的假設，當您可以調用騎兵時，幾乎總是更容易解決問題。

因此，雖然您可能有業務或其他原因來隱藏您的代碼，但安全性不應該是其中之一。“通過隱藏實現安全”的方法從來沒有起過作用，也永遠不會起作用。