开源人士们，注意了：你们是懒鬼！ 这是 Fortify Software 的最新说法，是 该安全软件供应商对开源软件安全性进行的一项研究 的结果，旨在“告知”企业用户与非专有软件的“狂野西部”相关的“风险”。

这项研究假定代表了科学研究的惊人进步，研究了 11 个基于 Java 的没有商业支持的开源产品，并设法将这些结果推断为对整个社区的强烈谴责。根据 Fortify 的说法，“企业中最广泛使用的开源软件包使用户面临重大且不必要的商业风险”，并且“几乎所有 OSS 社区都未能为用户提供安全专业知识来帮助修复这些漏洞和安全风险。” 真的吗？ 最广泛使用的开源软件包都是基于 Java 的并且缺乏商业支持？ 你研究的这 11 个项目代表了几乎所有的开源社区？ 为什么这些项目的名称明显没有出现在这个充满信息的新闻稿中？

当然，Fortify 不希望我们把它当成针对个人的行为，他们告诉 Linux Insider，他们希望得到积极的回应。 尽管如此，“人们并不真正担心对研究结果的负面反应。” 毫不奇怪。 人们不得不怀疑他们对 某些高调的专有软件包 的担忧是什么，这些软件包有记录在案的 掩盖安全漏洞 的历史，以及他们是否意识到，当这些“安全”的生产者 忙于实践“否认、否认、再否认”的格言时，开源社区却 忙于修补漏洞。

任何想阅读报告并了解如今哪些项目构成了整个开源社区的人，都可以 在 Fortify 的网站上注册 以获取报告副本。 当然，它是在 Linux/Apache 堆栈上运行的，所以不能保证安全性……