据21日发布的一份研究称，企业经常依赖于开源软件，节省开发时间和费用，但是他们应该依赖于安全性良好的开源工具。对11款流行程序的评审显示存在大量的漏洞，并且普遍缺健全的安全实践。

　　这份研究是基于Fortify Software Inc以及信息风险管理和移动咨询Larry Suto的发现。研究发现开源的开发任何需要特别注意安全，而且企业在把开源工具整合到他们的业务重视，应该以怀疑的态度年对待开源工具的安全性。

　　Fortify’s security research group的经理Jacob West说：“企业对岛开源工具的态度应该和对待内部开发或者定制托管的软件的态度一样的。意思是说，他们需要把开源工具放在自己的安全开发过程中，进行风险评估和代码检查等。”

　　研究发现大量的漏洞，包括将近23000个跨站脚本漏洞和超过15000个SQL注入漏洞。可能更需要关注的是几乎没有证据可以证明开源程序已经发现了，并预先对这些安全问题进行了纠正。测试的六个开源信息包，在发布的三个新版中的漏洞数量没有变，甚至还增加了。（到目前为止，CRM/groupware Hipergate的问题最多，有 14000个。）

　　这些软件的信息包是由 Fortify’s Source Code Analyzer (SCA)进行扫描的。在Fortify的员工的协助下，扫描结果经过了Suto的手动检查。

　　Suto和Fortify从寻求安全帮助的终端用户的角度检查了这些网站。他们寻找的是安全性和安全执行的文件的明显连接、发送报告安全问题的邮件，和/或访问可以讨论这些问题的安全专家。在这11个程序中，只有Web服务器Tomcat提供了这三个方面，另外有八个在这三个方面被划出局。

　　West说有的公司配置的开源软件已经有了健康的安全方法，还有负责对他们的分线进行评估的团队。这些攻击将会经常开发它们自己的版本，所以他们可以控制安全性，并修复他们安装的基础代码。

　　他说，很多机构都知道他们使用的开源软件，因为他们的法律团队审查了许可证的问题。问题是法律部门和安全组没有进行必要的沟通。

　　West承认开源程序的来源是一个问题，但是他说他们可以“利用一些明智的选择并采用正确的程序和技术”进行改善。Fortify 赞助了Java Open Review Project。它可以对参与的项目进行每周安全扫描。

　　West说：“开源软件需要考虑安全性，作为他们开发的软件所提供的可用核心之一。”