您现在的位置是:首页 > IT基础架构 > 网络与安全 >

开放源码存在安全风险

2008-09-16 21:55:00作者:范臻 编译来源:

摘要所有的软件都用源码编写,并通过编译最终生成系统或应用。开放源码软件保证所有人可以得到这些代码。这意味着没有一个公司可以完全独占它。开放源码也意味着自由选择的权力,而自由选择意味着激发更多创新的能量。 ...

众所周知,所有的软件都用源码编写,并通过编译最终生成系统或应用。开放源码软件保证所有人可以得到这些代码。这意味着没有一个公司可以完全独占它。开放源码也意味着自由选择的权力,而自由选择意味着激发更多创新的能量。

开放源码在软件发展过程中是必然的。它把控制权交还给使用者和客户。您可以查看系统运作的所有源码,或进行修改,或从中汲取相关的知识。系统缺陷和漏 洞可以更快地被发现并加以修正。并且,当客户不满意一个供应商的服务,他们可 以选择更好的服务提供商来建设他们的信息基础设施。没有技术的壁垒,也没有市场的垄断。

当企业或组织致力于降低获取软件许可的成本时,尤其在Java应用开发的相关 领域,开放源码的第三方软件成为一种很好的选择。有许多组织从一开始就积极寻 求开放源代码的自由软件,更多的企业则把开放源码的第三方软件作为组件集成进自己的产品中。

另外,开放源码也有利于开发更高质量,更稳定可靠的软件系统。它可以几何级数地提升各个公司的开发能力。

因此,开放源码的模式可以帮助开发出更高质量,更安全,更易用的集成软件。它的确使软件开发的步伐迈得更加快速,并有效降低了成本。

然而,这种开放源码软件对于使用它的企业或者组织来说,却是一个重大的安 全风险因素。因为在很多情况下,开放源码并没有遵守最起码的安全守则。

由Fortify软件公司主持并在安全顾问 Larry Suto的参与下,对11款开放源码软 件进行了三个月的评估,并且听取相应用户的不同反映意见,结果表明开放源码软 件具有的潜在安全风险特别需要人们给与足够的重视。

 
计算机顾问和州政府的系统分析员 Craig Willis 说。“与好人在查找弱点一样, 那些坏家伙也在做同样的事。您可能不应该依赖于‘通过隐藏实现安全性’,但是如果攻击者可以找到一个更容易的目标,它就可以成为您的优势。”

Network Associates 的首席计算机专家 Lee Badger 反对“许多人来都关注”理论 所作的人们都愿意测试相当普通的代码这一假设,他说:“我不能肯定实际情况就是 这样。”甚至一些开放源码的提倡者也承认这种进退两难的境地。GNU 邮件列表管 理程序 Mailman 的程序设计者 John Viega 透露,三年来,Mailman 一直有几个明 显的安全性代码问题,但是至今没人捕捉或报告这些错误。

Viega 说:“我们大大地高估了开放源码在安全性方面所提供的好处,因为高质 量的审查并没有象人们认为的那样多,而且有许多安全性问题的查找往往比人们想象的要难得多。”就我们的经验来看,检测一个程序的安全漏洞远比自己写一段安全 的代码复杂,更何况我们经常要面对一些源代码开放的大型复杂的应用程序。

此外,有人通过开放的源代码来传播有害数据,如病毒和木马程序等。由于传 播自由软件是一种公众行为,有人可能会恶意地在开放的源代码中添加有害代码, 并且四散传递。

就连IT业界的大哥微软,以前也对开放源代码颇有微词。他们认为,由于“开放 源代码”,程序有可能朝不健康的枝状方向发展,变成版本互不兼容的程序。而其中微软认为GNU的GPL(General Public License)授权将带来严重的问题。因为一旦程序获得认证授权,在此程序基础上所做的任何修改产生出的新程序都可自动取得 授权。这代表GNU的GPL完全不受知识产权的保护,因此“开放源代码”的软件会使 得任何商业模式都无法健康发展。

一些专家也表示,开放源代码带来的安全隐患是致命的,没有人能够保证开放的程序不会有漏洞,没有人能够保证开放的代码中不会嵌有木马,同样没有人能够保证公开的代码不会成为恶毒程序编写的基础,只要GPL协议存在,对于企业和国家信息安全 的担心就永远存在。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们