有功更有过 开放源码存在安全风险

日期: 2008-08-06 作者:范臻 来源:TechTarget中国 英文

  众所周知,所有的软件都用源码编写,并通过编译最终生成系统或应用。开放源码软件保证所有人可以得到这些代码。这意味着没有一个公司可以完全独占它。 开放源码也意味着自由选择的权力,而自由选择意味着激发更多创新的能量。


  开放源码在软件发展过程中是必然的。它把控制权交还给使用者和客户。您可 以查看系统运作的所有源码,或进行修改,或从中汲取相关的知识。系统缺陷和漏 洞可以更快地被发现并加以修正。并且,当客户不满意一个供应商的服务,他们可 以选择更好的服务提供商来建设他们的信息基础设施。没有技术的壁垒,也没有市 场的垄断。


  当企业或组织致力于降低获取软件许可的成本时,尤其在Java应用开发的相关 领域,开放源码的第三方软件成为一种很好的选择。有许多组织从一开始就积极寻 求开放源代码的自由软件,更多的企业则把开放源码的第三方软件作为组件集成进 自己的产品中。


  另外,开放源码也有利于开发更高质量,更稳定可靠的软件系统。它可以几何 级数地提升各个公司的开发能力。


  因此,开放源码的模式可以帮助开发出更高质量,更安全,更易用的集成软件 。它的确使软件开发的步伐迈得更加快速,并有效降低了成本。


  然而,这种开放源码软件对于使用它的企业或者组织来说,却是一个重大的安全风险因素。因为在很多情况下,开放源码并没有遵守最起码的安全守则。


  由Fortify软件公司主持并在安全顾问 Larry Suto的参与下,对11款开放源码软 件进行了三个月的评估,并且听取相应用户的不同反映意见,结果表明开放源码软 件具有的潜在安全风险特别需要人们给与足够的重视。


  计算机顾问和州政府的系统分析员 Craig Willis 说。“与好人在查找弱点一样, 那些坏家伙也在做同样的事。您可能不应该依赖于‘通过隐藏实现安全性’,但是如果 攻击者可以找到一个更容易的目标,它就可以成为您的优势。”


  Network Associates 的首席计算机专家 Lee Badger 反对“许多人来都关注”理论 所作的人们都愿意测试相当普通的代码这一假设,他说:“我不能肯定实际情况就是 这样。”甚至一些开放源码的提倡者也承认这种进退两难的境地。GNU 邮件列表管 理程序 Mailman 的程序设计者 John Viega 透露,三年来,Mailman 一直有几个明 显的安全性代码问题,但是至今没人捕捉或报告这些错误。


  Viega 说:“我们大大地高估了开放源码在安全性方面所提供的好处,因为高质 量的审查并没有象人们认为的那样多,而且有许多安全性问题的查找往往比人们想 象的要难得多。”就我们的经验来看,检测一个程序的安全漏洞远比自己写一段安全 的代码复杂,更何况我们经常要面对一些源代码开放的大型复杂的应用程序。


  此外,有人通过开放的源代码来传播有害数据,如病毒和木马程序等。由于传 播自由软件是一种公众行为,有人可能会恶意地在开放的源代码中添加有害代码, 并且四散传递。


  就连IT业界的大哥微软,以前也对开放源代码颇有微词。他们认为,由于“开放 源代码”,程序有可能朝不健康的枝状方向发展,变成版本互不兼容的程序。而其中 微软认为GNU的GPL(General Public License)授权将带来严重的问题。因为一旦 程序获得认证授权,在此程序基础上所做的任何修改产生出的新程序都可自动取得 授权。这代表GNU的GPL完全不受知识产权的保护,因此“开放源代码”的软件会使 得任何商业模式都无法健康发展。


  一些专家也表示,开放源代码带来的安全隐患是致命的,没有人能够保证开放的程序不会有漏洞,没有人能够保证开放的代码中不会嵌有木马,同样没有人能够保证公开的 代码不会成为恶毒程序编写的基础,只要GPL协议存在,对于企业和国家信息安全 的担心就永远存在。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

范臻
范臻

相关推荐