扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:佚名 来源:SohuIT 2008年8月8日
关键字:
作者: 佚名, 出处:eNet, 责任编辑: 郭秋爽, 2008-08-08 00:00
开放源码软件对于使用它的企业或者组织来说,却是一个重大的安全风险因素。因为在很多情况下,开放源码并没有遵守最起码的安全守则。
众所周知,所有的软件都用源码编写,并通过编译最终生成系统或应用。开放源码软件保证所有人可以得到这些代码。这意味着没有一个公司可以完全独占它。开放源码也意味着自由选择的权力,而自由选择意味着激发更多创新的能量。
开放源码在软件发展过程中是必然的。它把控制权交还给使用者和客户。您可以查看系统运作的所有源码,或进行修改,或从中汲取相关的知识。系统缺陷和漏洞可以更快地被发现并加以修正。并且,当客户不满意一个供应商的服务,他们可以选择更好的服务提供商来建设他们的信息基础设施。没有技术的壁垒,也没有市场的垄断。
当企业或组织致力于降低获取软件许可的成本时,尤其在Java应用开发的相关领域,开放源码的第三方软件成为一种很好的选择。有许多组织从一开始就积极寻求开放源代码的自由软件,更多的企业则把开放源码的第三方软件作为组件集成进自己的产品中。
另外,开放源码也有利于开发更高质量,更稳定可靠的软件系统。它可以几何级数地提升各个公司的开发能力。
因此,开放源码的模式可以帮助开发出更高质量,更安全,更易用的集成软件。它的确使软件开发的步伐迈得更加快速,并有效降低了成本。
然而,这种开放源码软件对于使用它的企业或者组织来说,却是一个重大的安全风险因素。因为在很多情况下,开放源码并没有遵守最起码的安全守则。
由Fortify软件公司主持并在安全顾问Larry Suto的参与下,对11款开放源码软件进行了三个月的评估,并且听取相应用户的不同反映意见,结果表明开放源码软件具有的潜在安全风险特别需要人们给与足够的重视。
计算机顾问和州政府的系统分析员Craig Willis说。“与好人在查找弱点一样,那些坏家伙也在做同样的事。您可能不应该依赖于‘通过隐藏实现安全性’,但是如果攻击者可以找到一个更容易的目标,它就可以成为您的优势。”
Network Associates的首席计算机专家Lee Badger反对“许多人来都关注”理论所作的人们都愿意测试相当普通的代码这一假设,他说:“我不能肯定实际情况就是 这样。”甚至一些开放源码的提倡者也承认这种进退两难的境地。GNU邮件列表管理程序Mailman的程序设计者John Viega透露,三年来,Mailman 一直有几个明显的安全性代码问题,但是至今没人捕捉或报告这些错误。
Viega 说:“我们大大地高估了开放源码在安全性方面所提供的好处,因为高质量的审查并没有象人们认为的那样多,而且有许多安全性问题的查找往往比人们想象的要难得多。”就我们的经验来看,检测一个程序的安全漏洞远比自己写一段安全的代码复杂,更何况我们经常要面对一些源代码开放的大型复杂的应用程序。
此外,有人通过开放的源代码来传播有害数据,如病毒和木马程序等。由于传播自由软件是一种公众行为,有人可能会恶意地在开放的源代码中添加有害代码,并且四散传递。
就连IT业界的大哥微软,以前也对开放源代码颇有微词。他们认为,由于“开放源代码”,程序有可能朝不健康的枝状方向发展,变成版本互不兼容的程序。而其中微软认为GNU的GPL(General Public License)授权将带来严重的问题。因为一旦程序获得认证授权,在此程序基础上所做的任何修改产生出的新程序都可自动取得授权。这代表GNU的GPL完全不受知识产权的保护,因此“开放源代码”的软件会使得任何商业模式都无法健康发展。
一些专家也表示,开放源代码带来的安全隐患是致命的,没有人能够保证开放的程序不会有漏洞,没有人能够保证开放的代码中不会嵌有木马,同样没有人能够保证公开的 代码不会成为恶毒程序编写的基础,只要GPL协议存在,对于企业和国家信息安全的担心就永远存在。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。