2003年,SreeNivasa Rao Vadalasetty帮助为Sans Instoutute写了一份报告,该报告是“安全问题使用开源软件进行企业要求”。今天的一些标题几乎可以嘲笑。
报告说明:“虽然开源具有比其封闭源对应物更安全的可能性,但不应被视为理所当然,开源更加安全,因为有一些约束因素。尽管源代码适用于每个人,但开源的几种漏洞仍然是未被发现的......“
在一个民意调查去年由黑鸭软件完成,调查结果表明,使用开源软件增加了。该调查分析了纪录的1,300个C-Suite和高级IT专业人士的投入,表明78%的受访者表示,他们的公司至少在开源上运行了他们的一部分运营 - 这是自2010年以来一加倍的数字。
“从那时起,我们走过了很长的路。很明显,开源已经成为软件开发的默认基础,渗透到现代企业的几乎每个方面,在质量、成本、定制和安全方面都优于专有软件包。”
该调查旨在说明55%的人指出,开源提供卓越的安全性。
“开源安全产品已超过二十多年。例如,让我们嗤之以鼻。1998年发布,并由我们自己的一些政府三封信组织使用的IDS / IPS。由于专有的软件供应商Fud策略,OSS最初令人难以置疑的安全性。许多公司已经实现了,为OSS释放了更多的修补程序,而不是大多数专有产品。为什么?在任何给定的项目中的社区大小,敏捷过程和需要快速解决任何问题的必要性。专有的供应商仍然锁定金融和[人力资源]应用程序......但这可能是开源软件中创新的下一个领域,“他补充道。
Michael Taylor,应用和产品开发领先于Rook Security,表示,开源社区一直为一般和安全目的创造出优秀的工具。“这些工具成功的原因是它们在开放中创建,因此代码实际上没有的谜。这允许每个用户确定它们是否对工具的动作感到舒适,“他说。
此外,他说,用户通过创建项目的其他功能,错误报告和代码审查来参与开发过程。这种社区参与大大增加了测试人员和代码审查员的人口。
[亦是关于cso:开源安全的状态]
“我们在安全和日常活动中使用了许多不同的开源工具。大多数人可能都以一种或另一种形式使用过开源项目,比如手机、汽车或其他家庭设备中的操作系统,以及许多其他嵌入式系统。这些平台的安全性通常是来自不同开源项目的组件。一个例子是汽车中的嵌入式Linux系统会有安全组件,可以在生产网络服务器上看到,”Taylor说。
许多开源工具比闭源工具更容易使用。代码工作方式的可见性使最终用户能够快速地将开源工具集成到现有系统中。“当我们检查潜在的新工具时,选择一个满足我们需求的开源项目通常是比其他选择更好的选择。这是因为我们能够快速部署一个开源工具,而无需向其他公司做出财务承诺。它也让我们确定了使用新项目的概念证明,”他说。
Rook Security使用Snort和Suricata进行网络监控,Elasticsearch作为数据库解决方案来处理许多类型的数据,并使用强加密和认证方法安全地连接到主机。
Mill Weinberg是Linux基金会的开源战略高级总监和分析师,所述开源软件在企业基础架构的几乎各个方面和跨越几年前难以想象的程度部署。
他引用了一个Gartner报告,该报告发现,平均29%的企业软件堆栈由开源软件组成,最可达的组织在其投资组合中使用高达80%的开源,释放资金和资源开发,获取和部署商业/专有代码,用于最差异化和/或业务关键函数。
当被问及开源是否对企业网络的每个角落都是安全的时,他说,“问题不在于开源是否对PII足够安全,而在于处理PII的系统是否足够安全。整个网络和在上面运行的应用程序,如今都是专有和开放源代码的令人兴奋的混合物。”