虽然开源现在是IT的主导力量,但专家警告称,开源的优点同时也可能是缺点。总之,开源并不一定适合每个人。
基于开源在IT市场的主导地位,任何对其价值的辩论都可能被认为是没有实际意义。
Core Security公司高级安全和战略副总裁Eric Cowperthwaite最近表示:“开源代码已经征服了世界。”
事实是,开源的优点有很多,其中最引人注目的是它的免费的提供给所有人,用户可以定制化它来满足其需求,并且整个社区有成千上万的人在查看代码以发现漏洞或缺陷,从而快速修复漏洞,不被攻击者利用。
Redspin公司安全工程师Andrew Ostashen表示:“开源代码是向世界开放,当出现问题时,代码编写者可以更快地修复。”
不管开源是否已经征服世界,很多安全专家和法律专家向企业和个人用户警告称,开源并不完美,甚至并不适合每个人。
重要的是要注意,开源的优点也可能让它具有风险。如果代码中的漏洞开放给所有人查看,攻击者也可以看到。数以百万的眼睛盯着开源代码并不能保证每个漏洞都会被发现和修复。
“据称,由于开放性,开源软件在本质上更加安全,”Accuvant公司解决方案研究主管Rafal Los表示,“但Heartbleed等漏洞推翻了这一点。”
KNOS项目联合创始人兼首席架构师Kevin McAleavey称:“Heartbleed在2012年2月发布后,没有人发现它,直到数据泄露事故爆发。” 另一个例子是GNUTLS中的“Ghost”漏洞利用,这可以追溯到2005年,但仅在去年才被发现。
这些漏洞意味着,数百万双眼睛盯着代码并不意味着所有这些人都能够发现漏洞。 只是因为源代码在那里,并不意味着所有的人都了解代码实际的功能。
即使是漏洞被发现,并发布了补丁,也不能保证每台可能受感染的设备或系统会安装漏洞补丁。
例如,Park’n Fly和OneStopParking.com因为Joomla内容管理平台中的开源安全漏洞遭受攻击。这是因为尽管在攻击前发布了漏洞补丁,但从来没有被安装。
McAleavey称他在20多年前就开始使用Linux开源操作系统,并称这个问题的存在,主要是因为开源往往存在“两个独立的实体”。
在Linux的情况下,这里有内核团队,还有应用程序维护者。
任何对Linux内核的更改仍然需要由Linux(创始人Linus Torvalds)亲自批准或由他信任的少数内和维护者批准。他们来确定核心内核OS本身的情况。
但是他们对应用程序或开源代码方面的情况毫无兴趣,这导致在用户领域绝对的无政府状态,这不利于稳定性和安全性,因为没有人对此负责。
Los称闭源软件同样容易像开源被“抛弃”,但他指出,如果供应商真正关心其产品质量,他们会维护和更新商业专有软件。
但是,Los称,商业应用中使用的开源组件是巨大的问题,主要因为它们容易被忘记。例如OpenSSL库等问题。开源和商业软件都迫切需要修复,但当OpenSSL用于商业应用程序时,很多最终用户不会意识到它在那里,所以不知道需要进行修复。
Tantleff指出了同样的问题,仅仅因为有补丁,并不意味着问题解决了。还是需要有人来安装补丁,而通常情况下,开源应用程序没有自动更新。
开源的优势之一是定制化或修改代码来满足开发人员或企业的需求,但这个优势同样可能带来风险。因为所有这些修改可能会导致很多修改版本的开源程序,而很多这些修改的应用程序会重新发布。然后,问题会变成,你在使用哪个版本?有时候你根本不知道。
这意味着用户或开发人员认为他已经修复了应用程序,但事实上,他只是安装了基于未修复应用程序的版本,漏洞依然存在。
开放的代码修改也意味着代码可能遭到恶意修改。Tantleff称,代码可能会被注入恶意软件,或者更糟糕的是,从一开始恶意软件就藏在其中。
最后,对于成员众多的开源社区,很难让某人负责法律或合规问题。如果没有人负责,那你应该要告谁?
当然,开源的支持者会称,开源社区要比使用专有系统的公司更加可靠。如果管理专有系统的公司破产,这会怎么样?另一方面,开源总是会有支持网络和稳定的基础,因为这个社区是稳定的。
那么,用户如何可以更好地利用开源,而避免开源带来的风险呢?
答案可能并不容易,但比较简单:“企业应该像对待所有其他软件那样对待开源软件。”
首先需要知道来源,重要的是知道软件的出处,是否为可信的来源。你还需要从其他可信的来源来收集关于软件的情报。
即使来源是可靠的,还需要有适当的控制的程序来审查软件,然后再在企业内部部署软件。
而且,还需要部署程序来管理和监控软件,包括确保企业了解漏洞情况、可用的补丁,最重要的是,确保补丁得到安装。