12月22日，金山网络安全技术研发中心过程改进经理，参与了主题《金山卫士开源--让互联网拥抱安全》的公开YY语音，与网友们进行了深度的互动，为广大网友答疑解惑有关金山卫士的详情。

嘉宾简介：

周琦，计算机科学与应用学士，现在金山网络安全技术研发中心过程改进经理。曾在

2005-2007年就职新浪网，过程改进专员。

目前主要负责云安全团队社区化研发过程的建立、支持、培训，以及内部知识管理活动。

是华蟒用户组(CPyUG)创办人之一，并长期承当社区管理管理员；

也是哲思社区资深成员，教育大发现社区高级顾问，ECUG社区宣传部长；

长期主持各种线上、下技术交流活动，在北京、上海、珠三角地区推动Python技术的学习、实践和分享；

主持撰写并出版有“可爱的Python”一书；是蟒营项目设计者，并参加PCAP2010年会进行了相关讲演，当前作为金山俱乐部下属项目，开始在全国9所高校进行推广。

下面为周琦演讲回答网友问题集锦：

1.大致浏览了一下金山的代码，很多必要的注释都没有，应该是删除了注释版本，这个版本是公司内部的版本吗？

回答：是的，这是肯定的。为什么现在金山没有批量的把所有的成果都开源出来呢？因为实际上我们现在就是直接把金山卫士，最新版本组件的，正式用的那些产品的组件，真实代码，再一个一个识别出来，我们承诺，或者说没办法开源的一部分要剔除。其次，要考虑到，我们是apache licenses，之前我们云的一些第三方，或者说第三方的模块，如果它的licenses跟apache licenses不兼容的话，我们会把它去掉。所以这里有一个代码清理迁移的过程。你的代码有可能会直接进入卫士的箱里最新版本，这个通道，规划当中是直接通的。未来，包括金山所有正式发放的安全产品，会真正和大家见面，用社区版本的代码。

2.金山卫士上周放出了ARP防火墙的源代码，之前金山卫士好像并没有这一功能？

回答：这个问题应该是上周同一时间，金山官方网站上看到了，他有一个最新版本，ARP防火墙是包含在里面，我们现在在逐渐逐渐把所有功能提取出独立作品，来释放到开源社区当中。有可能你们在界面上看不到ARP防火墙，但是可以看到实时防火墙这个功能，这个独立出来的独立作品，实际上是大功能当中的一个辅功能。

3.开源之后，金山卫士代码还做更新维护吗？比如说金山卫士自己升级了，但是开源代码会跟着升级吗？

回答：这个问题实际上刚才已经回答了，当全部开源了之后，我们包括开发，包括产品，逐渐逐渐都会以开源社区为核心，我们真正的发放产品，它用的代码就是复合产品。也就是说，未来我们会先更新开设具体的代码，开放给社区的成员，优先去编辑、测试和使用，会合并到金山卫士。这跟正常的，现在比较成功的开源厂商，比如说LINUX、火狐，他们这些都是一样，都是先在社区版本当中升级特别特别多的功能，大家觉得哪些好，哪些不好，把好的留下来放在商业版本中发出去，是这样的关系。

4.金山卫士开源社区开放了他云安全的HR，能不能为云安全的HR开发自己的产品？

回答：首先，这是计划当中的，现在还没有投放，还没来得及开放。因为我们考虑到，这么做好比谷歌的dog，那些云安全或者云存储的问题。我们肯定会开放，但现在还没开放，你还没有看到相关的HR的信息，详尽的测试已经交给我们几十个OEM产品的接手之后，才能安全的开放给大家。开放了之后，因为这个接口，包括接口和接口的后面，兼容licenses的这个许可证来开放。比如说你拿我们的接口，去开发自己的产品，去赚钱，太好了，我们期望将来客户这么用金山的安全软件。这么说够明确了，我们期望越来越多的人，利用我们的云安全监测，去开发适合于自己的，适合于各种各样情景的安全软件，因为我们的开源的目的，是让整个互联网越来越好，赚钱是个次要的目的。所以，这个非常好，密切等待它的开放，我是派送社区的，我也在等着用这个接口，来开发一些比如说跨平台的安全，或者说安全脚本。

5.金山卫士开源它的目的是为了联合其他的软件厂商，来对抗病毒？

回答：我们联合是我们期待的一个结果，对抗是我们无奈的不想选择的一种行为。也就是说金山开源的目的不是为了对抗，最后带来的结果会不会占领更多的市场？这是期待的，但是不会把这种期待转变成赤裸裸的这种引导也好、教唆也好等等，放在开源社区当中，这个开源社区是一个单纯的技术开源社区，安全技术开源社区，它的目的跟所有的开源社区是一样的，为了追求安全对抗的极致，最好的代码，最好的人，最舒服的社区文化。如此而已。随着金山的开源，其他厂商会有什么反映？未来会怎么样？一块儿期待。

6.这个问题是很多人听到金山卫士开源之后第一个想法，是不是假的开源？如果我们的代码发行了自己软件产品，或者服务的产品，会不会有麻烦呢？

回答：这个我们想怎么做，当然开源之后就不是金山能够控制的了，为什么这么说？因此我们选择了法律来保护自身，和所有有共性的大家的利益。这个法律是什么呢？就是许可证。只要大家的行为，吻合Apache和licenses2.0的许可，那么金山没有权利去进行任何干预，甚至我们会非常高兴全力帮助你发行自己的软件，发行自己的服务，发行自己的系统。看一下licenses，真的，因为我们当初选哪个licenses，我是想干脆用GPR的，后来发觉GPR的有很大传染性，如果你同时开发了，基于我们的开发了自己的作品，那你也变成GPR了，那操作上可能会更加复杂。所以，我们选择了更加宽容apache licenses，那么用它的代码，发行一个新的产品之后，这个代码不能跟以前毒霸一样的，是不一样的，没问题。apache licenses允许。所有对于未来怎么利用金山开源社区当中代码的有任何疑虑，我唯一一个建议是什么呢？看一下apache licenses的内容，我们还是需要遵纪守法我们既然选择了apache licenses，肯定会老老实实遵循它的规章。

7.金山卫士开源之后，会不会学QQ一样，进行捆绑式的安装？

回答：这个问题我从社区大妈角度来说是这样的，捆不捆绑不是金山说了算，因为到时候我们的代码都是基于社区代码去进行发行的，这样这么多社区成员，社区是一个民主的环境，如果大家都同意支持金山这么做，有可能会捆绑。如果大家觉得不同意这样，金山就没法这么做，是一个民主的开放的自主社区。到时候金山，金山卫士也是基于这个开源社区代码进行的商业发行，他用这些代码，也用apache licenses的需求，如果到时候金山卫士有更好的合作，他们说绑定就绑定，跟大家基于开源社区代码做一些产品，没什么关系。就是捆绑与否，这个是商务行为，不是社区的自主行为。

8.开源之后，肯定会被高智商的人发现漏洞，这种情况下怎么去保护它？

回答：开源之后，有可能会有业余的人，或者竞争对手也好，或者病毒集团也好，利用开源的这些代码，卫士或者说毒霸产品线，来损伤用户的利益是不是？好。还是一样，我现在开源出来的是所有非对抗性代码部分，非对抗性代码部分是什么意思？就是说凡是跟用户的安全保护的部分，都能够开源，现在开源全是辅助，包括系统管理，加速，还有软件管理等等这些。通过这些代码，肯定会有漏洞所在，这个我承认，但是这些部分的组件辅助功能，它的漏洞可以说很难影响到用户的安全，因为安全对抗这部分没有开源。当然，如果有人想利用我们这些前端应用类的代码，变成跟微软后门一样进行入侵，那么请参考apache licenses法则。我们开源了，以前只有我们几十个测试人员，来保卫这些漏洞不会被利用，那么现在开源出去了，整个社区几千个人，共同来快速发现它，补足它就行了。这点正是开源社区的独立所在，魅力所在。

相关新闻：

《金山卫士开源白皮书》全文

“金山卫士开源计划”启动

金山开源：互联网安全的大同理想

创意开源 微博“积木”自由拼装征集赛

金山开源首版 金山卫士2.1正式版评测