长期以来，开源软件安全性的基本原则一直是这样的想法：由于代码是开放的，因此任何人都可以查看内部以查看是否有不该存在的东西。这是行之有效的真理，我们每天使用开源软件的许多人都接受了它。这就是为什么最近有关流行的文件传输协议(FTP)程序中的木马的一些新闻可能引起关注的原因。

FileZilla是常用的开源FTP程序，据安全厂商Avast称，FileZilla的恶意软件版本非常流行。

FileZilla的恶意软件版本是该软件的损坏版本，可以窃取用户的凭据，也可以用于传播更多恶意软件。“攻击者还可以下载包括数据库登录，付款系统，客户私人信息等在内的整个Web网页源代码，” Avast在博客中指出。

不过，这里要注意的重要一点是，并非FileZilla的正式版本受到威胁。FileZilla的虚假版本受到威胁。

在Google上进行FileZilla 的简单搜索，您会发现几个下载该程序的站点。顾名思义，开放源代码软件是可以自由重新分发的，因此可以从多个位置使用FileZilla并不奇怪，也不会带来任何新变化。

在这种情况下，FileZilla项目也很清楚。

FileZilla网站指出：“尽管该实例是迄今为止最大的实例，但已有十多年的修改版本传播了第三方网站上托管的恶意软件的案例。” “我们不容忍这些行为，我们正在采取措施消除已知的违法者。请注意，一般而言，我们不能防止第三方网站上的受污染版本或证明其真实性，特别是因为FileZilla项目促进了有益的重新分发和修改FileZilla本着免费开源软件和GNU通用公共许可证的精神。”

这里的课程和消息很简单，但是非常非常重要。使用或下载开源软件时，请确保从合法来源获得。

对于FileZilla，这意味着直接从项目页面本身获取FTP程序。

这里更大的问题是，其他开源软件是否可能存在相同类型的问题。可以，这就是为什么用户仅从“正确的”位置下载软件很重要。在我看来，“正确”的地方是给定开源应用程序的实际项目页面。通常，Linux用户也应该为自己的Linux发行软件存储库获得应用程序的安全性，因为这些软件通常只是从上游项目打包为特定发行版的。

因此，下次您打算下载开源应用程序时，请确保从可信赖的来源获得它。