![技术焦点>工作的未来[InfoWorld] >开发者/虚拟代码界面覆盖](https://images.idgesg.net/images/article/2021/02/spot_future_of_work_ifw_3x2_2400x1600_herodeveloper_programmer_virtual_code_interface_by_dean_mitchell_gettyimages-100876238-large.jpg)
开源软件(OSS)不断涌入企业IT部门,从许多方面来说,对供应商和用户都是巨大的福音。对于前者,能够使用开源组件意味着摆脱大量的重复effort-rather不必设计的每一部分,说,一个物联网传感器和监控产品从零开始,供应商可以采用易于理解,支持开源库的网络堆栈,并将更多的注意力放在传感和数据分析功能上,这将使该产品有别于其竞争对手。
对于最终用户来说,一个主要的优势是——至少在理论上——改进的安全性,这是开源软件通常推销的一部分。这里的想法是,一个软件的开放性——以及任何人都可以通过查看它来发现和纠正安全缺陷的事实——意味着它通常会比专有的同类软件更安全。
然而,根据Gartner研究副总裁Mark Driver的说法,这只是部分正确。他说,有一种相反的观点认为,开放会对软件产生不利影响,因为它允许坏人在重要的代码中添加东西。
他说:“现实介于两者之间——现实是OSS不比私有软件更安全或更不安全。”“这一切都取决于项目如何运行。”
开源软件更安全的理论固然很好,但在实践中,一切都取决于一组给定的贡献者在特定项目上的活跃程度和技术水平。ABI Research的物联网和网络安全高级分析师迪米特里奥斯·帕夫拉基斯(Dimitrios Pavlakis)表示,开源项目团队的bug查找工作与不良行为者对相同代码的彻底筛选有时存在差异。
“开源社区将猎鸭作为一种爱好,”他说。“但袭击者是以此为生的。”
因此,对于使用带有开源组件的软件的企业来说,深入了解这些组件的实际受支持程度至关重要。一些开源项目没有得到专业人员的支持,这意味着维护它们的人——如果他们真的在维护这个项目的话——是在业余时间做这些工作。
即使这些项目被积极地维护,也不能保证在商业软件中使用这些代码的供应商能够及时地打补丁。
“我们发现开源软件最普遍的问题是对开源资产的管理不足,”Driver说。安全问题可能由开源团队来解决,但这并不意味着代码在产品中得到修复。“人们会下载并使用它,但不会回去检查(补丁),”他说。
那么,一个负责任的企业应该如何应对其软件堆栈中潜在的开源漏洞呢?部分解决方案是技术上的。能够自动分析开源组件的给定堆栈并将其与已知cve进行交叉引用的软件,对于寻求自我保护的企业来说是一个很大的帮助。像Checkmarx、Vericode和Whitesource等供应商都提供这种类型的产品,通常称为软件组合分析(SCA)。
但IDC研究总监吉姆•默瑟(Jim Mercer)表示,同样需要注意的是,SCA软件并不是一个完整的解决方案。一些开源软件只会被部分使用,因此项目或库中未使用的部分的漏洞(仍然会被自动SCA工具发现)可能会产生误报。
他说:“SCA工具将根据CVE最初的优先级来确定优先级,但并不是所有人都理解你如何使用软件。”“你需要自己看看。”
因此,考虑到对复杂软件堆栈进行手工、静态分析的难度,以及让内部工程师修复他们可能不熟悉的开源软件问题的可能性,企业解决方案的另一个可以说是更重要的部分是合同。
这意味着将安全分析和解决问题的责任直接交给供应商的服务水平协议可能是避免潜在开源软件问题的最佳商业可用工具。
“解决方案是建立一个SLA,以支持任何业务流程的价值,”Driver说。“如果SLA对业务至关重要,你就需要它坚如磐石。”