“我们正在进入”邮政专有“时代,在没有开源软件的某些集成的情况下,基本上无法建立和部署应用程序。这种现象扩展到企业桌面到企业数据中心应用程序到云端,当然是移动/嵌入式,“他说。雷竞技电脑网站
Weinberg说,金融和人力资源在处理高度专有和敏感的信息时,不会免受部署和开源的益处。“关于地址,人力资源和金融应用在Linux上运行并集成了一系列开源库和中间件,”他说。
他注意到,专注于“网络”,即(嵌入式)网络设备由部署在路由器中的至少80%代码,接入点,NAS和其他网络节点是开源的。
[ 还:开源是项目的途径更好的安全吗?]
Santinelli补充说:“只是为了好玩,我看一下2007年的调查答复,发现一些实际标记为”噱头“的开放来源,而且大多数人认为启动软件供应商只能成功使用产品/服务不是开源。“
调查显示,45%的受访者在评估内部使用的安全技术方面提供了开放来源。
Aleksandr Vampolskiy,Co-ForderScorecard,也是开源的支持者。他引用了“许多眼睛”理论,越多的人审查代码的可能性越来越可能通过。通过广泛的同行评审过程,他感觉舒适使用开源产品。开源产品唯一的垮台是缺乏支持。商业供应商有义务合同,以应对其产品的问题。
黑鸭产品战略副总裁Michael Pittenger表示,开源的支持模型向后。“这取决于您(作为用户)了解是否存在该软件的新版本,”他说,添加了您必须订婚何时找到漏洞。
他说:“我没有发现猛击开源的公司”当涉及人力资源等部门时,他说。“通过这种支持模型,没有任何东西被推到[用户]。”
“利用开源解决方案,无论是针对PII,财务记录,还是专有信息,都不应该是大多数机构的关注。底层加密算法,通信协议和操作系统通常已经开放,“Rook的泰勒说。
他补充说,这允许研究人员直接检查代码以灭缺缺陷和漏洞。更难以调查封闭源产品提供的预编译二进制文件。
“如果在封闭源软件中识别出漏洞,最终用户必须等待公司生产和分发补丁。他说,一个开源项目通常能够更快地生产更快的修补程序,因为该项目的所有最终用户和开发人员都致力于解决方案,“他说。“最终,公司有责任识别和利用足够安全的解决方案。在作为服务模式的软件中,可能对服务提供商有所推迟责任,但仍将造成公司声誉的损害。“
他认为没有任何公司部门,应该本身不使用开源软件。开源工具管理通常具有更高的开销,有时缺乏支持(一些显着的例外是Red Hat,Elasticsearch等)
“开源已将其位置固化为软件开发的默认基础。它几乎渗透了现代[网络]的各个方面。在启动社区中,我们正在看到一个持续的开源诞生公司 - 下一波红帽,默认和ubuntu,同时看到惠普和微软嫁接开源DNA等传统IT领导者进入他们的核心,“说Santinelli。“在未来几年中,我们将看到开源解锁新一代技术的潜力 - 事物互联网,大数据和云计算创造数十亿的价值。”
J.J.Rook Security的创始人和首席执行官汤普森表示,开源工具对于提供数据丰富以增强攻击的背景,非常有用,以便于努力。许多商业工具提供有关IDS签名或始发IP的信息,但不会将其全部粘合在一起。
“而不是试图找到一个超级尺寸的产品,没有有效地做到这一点,而是有效的,内部球队往往更好地用开放的源威胁情报将这些作品粘在一起,”他说。
此外,在攻击下的资产信息删除捕获可以帮助安全团队决定如何根据资产的业务关键性得到如何有效应对。
2003年的SANS报告指出,今天仍然是真实的,企业应该在选择开源解决方案通过其封闭的源代码方面进行广泛的风险和安全分析。分析应考虑各种因素,如内部提供的专业知识和适用于各自开源产品的支持选项。良好的记录和实施的安全政策和最佳实践有助于企业减轻风险并享受开源的真正优势。
这个故事,“开源安全并不像曾经是一个担心的问题”最初发表CSO 。