任何事情都要计算成本的世界里,寻求经济高效的方案来解决业务问题再正常不过。现实世界中,这意味着“免费”,数字市场上,那就是“开源”。
▶ 开源软件别名“免费软件”
自互联网早期时代开始,开源软件(OSS)就常伴我们左右。不过,那个时候还没有开源软件这一说,大家都叫它们“免费软件”。直到1998年Palo Alto免费软件峰会更名为“开源峰会”,这个术语才被固定下来。
根据OpenSource.com的说法,开源代表着一整套价值观,也就是他们所谓的“开源方法”。OpenSource网站声称,“开源项目、开源产品或开源倡议采纳并颂扬开放交换、协作参与、快速原型、透明、精英管理和面向社区的开发原则”。
▶ 开源的优势
使用开源软件的好处显而易见,这也是开源软件广为使用且加速普及的原因所在。我们不得不从最明显的优势开始,那就是:开源是免费的。因为免费,所以对寻求成本控制或削减的任何企业而言都具有吸引力。需要在购买专有软件还是使用免费版软件之间做出选择时,很多小型企业的考虑重点不是功能,而是价格。
开源软件采用精英管理体制开发,任何人都能访问代码,查看应用开发方法和过程,提供功能增强或改善。因此,开源技术的开发过程中可以融入更多协作、创新和改善。可以访问代码同时也意味着,漏洞利用程序或代码缺陷可以被研究人员或开发人员更快地发现。然后项目负责人就可以解决识别出的问题了。如果未解决,那么问题最终会出现在国家漏洞数据库(NVD)中。
▶ 开源的风险
优势与风险并存。在触及围绕开源的运营问题之前,我们必须先考虑一个基础问题:因为不叫免费软件,依靠开源软件运营就是可以接受的吗?如果IT主管向董事会解释称自家企业的安全由开源软件管理,董事会或许不会有太大的反应。但如果告诉董事会说公司用的是免费软件,那他们的反应可能就不一样了。如果我们很清楚开源软件都用在什么地方,这就不成问题。但由于开源的形式和规模多样,企业真的了解开源软件所涉及的风险吗?
于是,我们引出开源软件使用方面的第二个问题:控制问题,尤其是许可控制问题。管理传统软件解决方案的部署方式已经够难的了,面对大量的开源软件,如果没有采用一定的管理机制,跟踪记录庞杂的许可就能让企业头痛不已。
▶ 房间里的(安全)大象
开源的强大之处在于同好之间协作和分享想法的能力。这些人的想法往往是利他主义和向善的。然而,不可否认的是,网络罪犯也充分意识到了开源软件的普及和人们对开源软件的依赖。网络安全从业者却没对开源软件的使用投以足够的关注,这可能是由于忽视了开源技术或其在企业的使用。
似乎无人提及,但显而易见的一点是:开源软件支持协作和快速原型,但这同样的方法也可被网络犯罪社区用来向应用中注入恶意代码。此外,开源社区广泛识别和公布漏洞利用程序,网络罪犯可以利用这些信息渗透缺乏健壮补丁管理过程的企业。这种情况很普遍,因为开源软件的使用不像专有软件那样控制严格。
风险管理和网络安全从业人员需更加密切地关注这一领域,因为如果没有充分考虑或评估开源软件,他们就会面临发生安全事件和(国际安全标准)违规的风险。
▶ 开源的未来
毫无疑问,开源软件还会继续发展下去,这是件好事。知道了上述开源风险后还这么说或许会令人惊讶,但开源软件的粉丝确实很多。不过,了解并考虑与开源软件使用相关的风险也是必要的。希望使用开源应用的企业应该弄清自己为什么要使用开源应用,并考虑其使用过程中涉及到的潜在风险。例如,设计软件、字处理软件等软件应用就比较适合采用开源软件代替,但用于管理或监控整个网络或系统的应用就不建议采用开源软件了。针对后一种情况,最好是实现非开源的监控工具,或者实现出自单一源而非开源的入侵检测或入侵预防工具。
开源不是坏事。事实上,技术无关好坏,但如何使用这些技术就需要我们好好考虑了。
来源:数世咨询
下一篇:北约云平台遭到黑客入侵