由社區資助對TrueCrypt加密工具進行透明的安全審計工作，我們從這一項目得出的清晰要點是……恩，老實說，大家尚不完全清楚發生了什么事：審計工作分為兩個階段，在第一階段沒有發現什么重大問題。接著，TrueCrypt的匿名創始人出人意料地宣布該工具并不安全，且他們的開源項目已經終止。

[[120476]]

TrueCrypt項目的審計及終止提出了關鍵性的開源軟件安全問題，無論軟件自身是否適于使用—對此我一無所知，但我現在對此持懷疑態度。約翰霍普金斯的Matthew Green以及其他人，都認為我們需要一個持續發展的小組，來負責重要開源產品的安全審計工作。開放密碼審計項目(OCAP)由此而來。該項目致力于審計開源密碼庫及工具，以期至少解決安全問題的冰山一角。但這會使得開放源碼的其他部分(幾乎所有的)缺失一組安全審計記錄;也許直到我們至少可以信任密碼的安全性時，情況才會改觀。

社區驅動的OCAP項目明確引入了一些互聯網的重量級人物。OCAP背后的項目成員當即就看出必須讓一些人士參與進來，這些人在開源及全球安全兩類社區都被廣泛認可和信賴。OCAP技術顧問委員會包括業界資深人士Bruce Schneier、來自Matasano安全的Thomas Ptacek、計算機安全研究員Moxie Marlinspike，以及其他在密碼領域有重要威望的人。而指導委員會其中包括Marcia Hoffman。如果美國司法部找上我時，他將是我會致電的那位律師。

這個由社區驅動的倡議正是應該會發生的事情。我非常鼓勵你去訪問opencryptoaudit.org，并提供幫助。作為起步，你可以幫助他們使得”捐贈”頁面運轉。根據他們的”新聞”鏈接進行判斷，他們也會需要公關部門的幫助。我認為我們需要這么做且值得這么做。

然而再回到那座冰山，關系到所有開源代碼的安全性，而非一個密碼庫。某些開源軟件差不多是被擊打成形的(如Firefox瀏覽器)，因為它一直遭受到如此廣泛、不斷的攻擊。而所有那些隨意使用的程序庫呢?商業服務至少可以幫助你對應用進行歸類管理并確定已知漏洞。但誰會負責審計開源軟件的實際代碼呢?

如果我們誠實回答的話，答案幾乎可以肯定是沒有人在做這件事。甚至沒有真正采用能解決問題的正確方法。如果我們想要安全的代碼(無論商業或開放源碼)，最佳辦法是從一開始就安全地開發它。我們已經看到，這樣做要求的是一種安全承諾，而這往往是大多數軟件開發公司很少會盡力去做的。

但是，開源項目往往是一群程序員圍繞一到兩個核心開發者、共同努力的成果。他們中有的聰明、有的則會犯低級錯誤。我認為，通過影響每個開源項目中那一小組核心程序員、從而創建一種安全代碼開發的文化，也許是可行的。事實上，某種程度來說，在開源項目中去推行這種作法甚至會更容易一些，因為它們多數情況下不會面臨商業世界里武斷的最后期限壓力。

所以，也許對于類似OCAP的某種安全開源組織尚存有需求空間。在此我并非意指開放Web應用程序安全項目(OWASP)這類致力于安全開發的組織，而是另一類，它將幫助項目負責人交流其工作的安全要求，也許還提供一定的資源用于體系審計—足以確保良好、安全地設計初始架構。當然這不是一件易事，但在那之前，我們難道不是僅或多或少在猜測開源代碼的安全性嗎?