研究称，开源软件存在安全风险

根据安全供应商Fortify和安全顾问Larry Suto本周发表的一份研究报告，开源软件对企业来说是一个重大的商业风险。该报告对11个开源软件应用程序进行了研究。

开源软件因为在许多情况下，开源社区没有遵守最小的安全标准，所以对使用它的公司来说是一个重大的安全风险吗安全根据周一发布的一项研究，最佳做法。

该研究是由Fortify Software在顾问Larry Suto的帮助下进行的，评估了11个开源软件软件包和每个社区在大约三个月的时间内对安全问题的响应。其目标是查明每个开源软件包的社区是否对安全问题或漏洞发现作出响应，是否发布了安全指南，是否维护了安全开发过程等。

在题为“开放源码研究——开放源码开发社区是如何拥抱安全最佳实践的?”

剩下的10个开源应用程序、工具和数据库包——Derby、Geronimo、Hibernate、Hipergate、JBoss、Jonas、OFBiz、OpenCMS、Resin和Struts——表现不佳。在这10个包中，应用服务器JBoss得分更高，因为它在其网站上提供了一个到安全信息的突出链接，并且可以方便地访问安全专家，但是缺少提交安全漏洞的特定电子邮件别名。

Fortify安全研究小组的经理Jacob West说:“你不会想要向普通邮件列表报告漏洞，因为一般公众会知道。”在报告错误时需要有一定的保密性，这样当公众得到通知时就可以提供修复，这样攻击者就不会得到他们可以利用的早期信息。

但是很多情况下，免费提供软件的开源社区并不像商业社区那样注重安全措施，后者对软件和支持收费，West说。

Fortify确定了总共22,826个跨站点脚本和15,612个SQL注入问题，这些问题与所检查的11个开源软件包的多个版本相关。

但是当Fortify试图接触到开源软件社区时，安全公司发现“在三分之二的情况下，你根本没有得到任何回复，”West说。“没有电话号码。你向谁询问信息?很难分辨这些人是谁。”

报告本身指出，“开源软件包通常声称具有企业级的能力，但没有采用——甚至没有考虑——行业最佳实践。只有少数几个开源开发团队正朝着正确的方向前进。”

West说，Fortify进行这项研究并不是为了谴责开源软件，而是指出，由于企业和政府对开源软件的采用在不断增加，安全实践需要改进。

前白宫网络安全专家霍华德·施密特(Howard Schmidt)现在是一名顾问，也是Fortify的董事会成员。他说，这项研究表明，当涉及到开源软件的商业应用时，“你必须睁大眼睛来研究它。”

实际情况是，虽然在某些情况下，开源软件可能看起来更经济有效，而且功能与商业软件一样，但是，开源软件的功能和商业软件一样维护的问题必须非常仔细地检查。

“你会向谁求助?”施密特问道。“那运行Geronimo的数千家公司呢?”那么你的供应链合作伙伴呢?”

底线是公司可能会发现他们必须自己承担开源包的补救工作。施密特说:“如果你没有事先的安排，你就只能靠自己了。”

政府机构和公司需要决定他们是否要尝试通过风险评估和代码审查来减轻开源软件本身的问题，以及他们是否计划将这些信息反馈给开源社区。

韦斯特说，这是关于软件生命周期开发的一个基本问题。他补充说，这项研究表明，在这些情况下，开源社区在一段时间内往往不会纠正软件版本中已识别的缺陷。

了解有关此主题的更多信息

开发有效的开源商业实践

华尔街成为Linux的大本营

开源正在进入企业主流