開源軟件的安全性不足?
企業(yè)在使用開源技術(shù)時,其中一個考慮便是開源軟件的安全性。筆者已經(jīng)不只一次指出,為何開源 軟件 會比較安全。但每隔一段時間,總會有人提出相反的論點(diǎn),現(xiàn)在又是時候發(fā)文以正視聽了。
Aspect Security和Sonatype在2012年3月26日,公開了這份名為New Study Reveals Widespread Use of Vulnerable Open-Source Components by the Global 500的調(diào)查。調(diào)查結(jié)果發(fā)現(xiàn)最受歡迎的31個開源程序中,其不安全的版本被下載了超過4,600萬次。Google Web Toolkit(GWT)有已知漏洞的版本,被下載了1,770萬次。其他像Xerces、Spring MVC、Struts 1.x等程序的不安全版本,也被下載了相當(dāng)?shù)拇螖?shù)。
這算是什么調(diào)查結(jié)果?頂多只能說不少開源程序過去都曾出現(xiàn)過有漏洞的版本。任何一個程序都會有漏洞,開源程序也不例外。大家說開源程序比較安全,原因只是因?yàn)槌绦虼a是公開的、而且有全球開發(fā)人員的協(xié)助,有漏洞時會更快地被發(fā)現(xiàn)、更快的被修正。以開源瀏覽器Firefox為例,2009年Secunia的調(diào)查發(fā)現(xiàn),F(xiàn)irefox的零時差漏洞最快在15天內(nèi)已經(jīng)修補(bǔ),最長修補(bǔ)時間為86天。Internet Explorer最少要110天才修補(bǔ)完高度風(fēng)險(xiǎn)的零時差漏洞, 最長則花了294天。
這點(diǎn)大概Sonatype也是明白的,所以在文章的下一段便出現(xiàn)了這樣的描述:“開源社群的檢查令漏洞被發(fā)現(xiàn)的機(jī)會大增,事實(shí)上開源軟件在系統(tǒng)安全的報(bào)告、比同類型的專屬軟件多出20%”,表示開源軟件在偵測漏洞的活躍程度,比專屬軟件為高。這樣有什么問題?
Sonatype認(rèn)為,問題出在開源軟件缺乏軟體更新的集中管理機(jī)制,沒有把相關(guān)資料通知用戶的設(shè)計(jì),令用戶一直在沿用有問題的版本。Sonatype的人大概沒有用過Linux系統(tǒng)里的yum和apt吧?當(dāng)有更新檔提供時,系統(tǒng)會取得最新資訊自動通知用戶更新。看來無法取得最新資訊的是Sonatype?如果大家有興趣看看這篇語無倫次的文章,不妨看這里。
【編輯推薦】
