虽然开源软件已经获得了企业网络一起专有软件的地方,它似乎无法撼动有关长期困扰移动安全和知识产权问题的疑虑。
“开源的优势在于,没有一个实体对一个项目拥有权威的控制权,”高德纳(Gartner)分析师马克•德赖弗(Mark Driver)表示。“没有单一的瓶颈。”一种理论认为,因为它是开源软件安全他说,问题很快就会被发现。“但是有一种观点认为开源不太安全,人们可能会把不好的东西放进去,这也是真的,”他补充道。
无论什么疑问,开源运动,现在计算在数以万计的志愿者软件开发商“社区”,被编码集体,获得操作系统的恩惠,应用。开源不仅会继续存在,它还会改变传统的商业软件实践。
通过Eclipse和NetBeans等工具,开源软件组件正在被开发成商业软件。Linux操作系统不仅成为企业的最爱,如在华尔街公司今天是显而易见的,但中间件的应用,如Geronimo中时,JBoss,MySQL和Hibernate也正在成为企业普遍。
Gartner估计,到2013年,80%或更多的商业软件产品将具有开源元素。IBM,红帽和生命值涉及到软件支持,这通常被视为一个优势。
今天的趋势是,IT企业和政府管理者试图通过它使公司评估每个开源软件项目,严格查看每个社区的成熟中加入扩展或修改bug保持其代码库。如果老牌厂商如
Driver说,最雄心勃勃的商业开源采用者仍然倾向于“在技术上咄咄逼人”,因为他们有一个内部的研发团队可以支持它,或者他们会从供应商那里聘请支持人员。
那么,更紧迫的安全和知识产权问题是什么呢?
一个主要的问题是安全漏洞如何被发现并修复。经常有比可与封闭源代码的私有软件厂商找到工作不同的方法。
微软——该公司曾闭关锁国,对外界发现其产品存在安全缺陷的建议持谨慎和固执的态度——多年来逐渐开放,与安全专家建立明确的联系渠道,就他们发现的安全漏洞秘密分享关键信息。
微软在这一领域的最新举措,本月宣布,将安全厂商甚至接近微软巨头承诺选择群访问脆弱性数据在之前,微软的月度安全报告他们的软件修复产品可以准备目前微软的公共通知。微软称这样做是为了防范黑客利用漏洞信息设计零日攻击。
相比之下,开源社区常常不具有与外界谁可能是安全专家,就是他们往往不信任的沟通清晰的线条。在任何情况下,保守秘密违背了开源精神的粮食为多。
“开源软件开发模式是如此的不同,”他说斯托米·彼得斯,GNOME基金会,这使得开源桌面应用程序的执行董事Linux许多厂商,包括分布式Novell和Red Hat。“期待那里是安全服务或为特定项目进行了联系是不可能的开源发生,但通常有一个邮件列表。”
这邮件列表通常是开放的,因为任何错误跟踪系统。“每当问题被解决,我们发出补丁,”彼得斯关于GNOME说,他说,责任通常都落在谁已经“提交权限”的权利,在改变的代码检查。
开源是一种“精英管理”,Peters说,尽管一个社区对自己的感觉最舒服,“但外部人士肯定有办法与团队互动,只要你看起来可信。”
彼得斯,他也在咨询公司工作OpenLogic,企业之间起着中介作用,开源社区技术审查400多个应用程序,督促安全专家希望接触开源社区努力找到“正确的人交谈”分享的担忧可能的漏洞。
有时,使用开源的企业内部会提供一个补丁,尽管他们可能不希望自己的名字与它相关联。但是补丁信息通常会通过邮件列表发送出去,Peters说,“反正大家很快就会知道了。”
一些安全厂商已经发现它可以更难以得到的消息,开源社区,而不是闭源供应商。
Fortify Software的是一个安全公司,最近与顾问拉里·苏托合作,以评估11漏洞基于Java的开源应用程序,找出所有有显著缺陷,Fortify的想给每个开源社区报告。
但根据Fortify的,只有Tomcat的,它开发了一个应用服务器,可以发现,使用安全“最佳实践” Fortify的主张,其中包括一个专门的电子邮件别名报告安全漏洞,容易获得安全专家或著名网站链接安全性信息。
该开源项目Fortify的寻求接触的剩余部分,Hipergate,OpenCms中,树脂,乔纳斯,德比,Geronimo的,Struts中,Ofbiz中,JBoss和Hibernate的,达不到支持所有三个在所有Fortify的询问了一些从来没有回应。Fortify的报告关于它在联系开源项目报告产生了争议漏洞困难,一些开源支持者认为Fortify的研究,使之有理。
而
“我们只提供了一个电子邮件地址来通知,而没有进行广泛的广播,”安格尔公司工程高级副总裁艾玛·麦格拉坦(Emma McGrattan)谈到安格尔开源数据库的安全补救的离散过程时说。“这是一件非常便宜的事情。”
安格尔,它赚取了面包和奶油通过服务,并授权其知识产权,对工作人员两名专职安全专家,并使用Klocwork的代码测试工具识别安全漏洞在审核安格尔代码。“一旦有人有修复,它的他们有责任将其提交到社区,”她还补充,“社区版是不太稳定。”
安格尔客户做的代码更改的知识产权方面的斗争。“围绕开源许可的合法性问题已经提出了对我们来说,” McGrattan承认。“律师也得到关注,因为他们已经看到了它潜入环境开放源代码。”
Danny Allen, IBM Rational的安全研究主任,他注意到IBM在开源方面有很强的主动性,例如阿帕奇说企业做糊的安全性和知识产权的影响,从开源的兴起。
“人们对风险有一种意识,比如如果未来有一个弱点会怎样,”艾伦说。有人担心谁是框架的安全联系人,或者故意包含恶意代码的可能性有多大。
尤其是公司律师持怀疑态度的开源项目,因为它可能是困难的,如果不是不可能的,找到谁是负责的人。“在开源项目,没有任何具体的问责制,”艾伦说,谁补充说,他看到过法律的人试图合并过程中揪出开源软件,把它看作比封闭源代码软件的风险较高。
但是,Coverity的开源战略师David Maxwell指出,每个开源社区在外观和行为上都有一点不同,他使Coverity Prevent成为一种静态分析工具,用于衡量软件质量。Maxwell也是一名自愿参与NetBSD开源项目的软件开发人员,在这个项目中,有几百个人有权“提交”代码更改。
两年多前,Coverity公司荣获由美国国土安全部的合同,有条不紊地分析下,政府的开源硬化工程开源软件。
根据合同,开源项目被邀请使用Coverity的扫描网站免费与评价软件,因此任何缺陷可以被固定的目标。
Coverity公司的网站扫描两年多分析超过55万行的代码重复的基础上为250多个开源项目,包括Firefox,Linux和PHP。结果在其“开源报告”进行了总结五月。
的250个项目的,约120有活性在减少代码报告的缺陷开发人员,根据“开源报告”。使用导致8500个多名各种缺陷的开源计划在两年内减少刀具。但总的来说,开源软件没有在干净的代码方面叠起来特别好。
这也很好地包括阿曼达的那些;NTP;的OpenPAM;OpenVPN的;过量;Perl的;PHP;Postfix的;蟒蛇;Samba和TCL,它解决了所有发现的缺陷,马克斯韦尔说。
“但其余的120个有不同程度的反应,”麦克斯韦谈到固定代码的过程。他承认,他自己的NetBSD遵循从志愿者中挑选安全人员并对通信进行加密的做法,目前仍在跟进发现的漏洞。
开源软件的发展是人们基于他们的能力和奉献精神的群体的感知接受,创造一个自然形成的紧密的自愿者团体文化,麦克斯韦指出。因此,有可能给外人突然对软件安全坏消息出现顽强抵抗。
一些人说,攻击者正在试图利用开源的开放性。
许多开源项目利用并行版本系统(CVS)作为存储库的项目代码。即使这个预测提供了机会与可能希望监视代码变化和更新,以准备恶意软件和攻击代码的攻击。“人们利用的,所有的时间,”阿尔弗雷德休格,赛门铁克安全响应中心的副总裁。“他们看CVS和正在改变的日志。”
至于他是否发现开源社区与安全情报接近外人更持怀疑态度,休格说,每个社区都是不同的,但更多的沉默和怀疑的是那些从未接近前一个特定问题。社区是信息更开放,“如果他们之前有过类似的问题,”休格的结论。