主题：Ubuntu 8.04今日正式发布 -- chela

一个开源软件,通常都有N个开发者.而这N个开发者可能相互之间从来没见过,完全只是因为技术上的原因走到了一起,其政见,宗教信仰等等可能是完全不一样甚至冲突的.某人在大陆为解放军服务,某人也许就在台湾为国军服务.所以所有开发者联合起来往软件里添加后门的可能性很小.比如,GCC编译器的开发者中有国防科大的博士,也有加州大学伯克利分校的人,你如何想办法说服这些人全部同意为FBI服务呢?

而且,软件写好以后,并不是只有开发者才看源代码,有些人要在开源软件上做二次开发,他们也会发现源代码里的后门.我自己就看过LINUX内核和其它几个软件的代码.我相信全世界绝对不止我1个人看过那几个软件的代码.如果真有后门的话,我们这些看过源代码的人中间总会有某个人发布PATCH的.

而发行版的软件包,就更不可能添加后门了.举个简单的例子,我用的是ARCHLINUX发行版.ARCHLINUX发行版的软件包是这样出来的:

有一个PKGBUILD脚本,然后根据这个PKGBUILD脚本,自动去软件源代码网站下载源代码,解压缩源码,编译源码,把生成的可执行文件等东西打包成软件包.

而ARCHLINUX不仅仅提供了最终的软件包,也提供了PKGBUILD文件,因为保不准哪个多事之人就会觉得ARCHLINUX提供的最终软件包不合他意.那么这个人就可以自己修改PKGBUILD文件,以编译符合自己要求的软件包.如果在生成软件包的过程中加入了后门,那PKGBUILD文件里一眼就可以看出问题来.

而GENTOO等发行版制作软件包的原理与此类似,GENTOO提供的是EBUILD文件.

另,与WINDOWS用户不一样的是,LINUX用户通常不以ROOT身份登录.这样,就算有木马,也只能影响某一个用户,而不会影响整个系统.