虽然开源软件已经获得了企业网络一起专有软件的地方,它似乎无法撼动有关长期困扰移动安全和知识产权问题的疑虑。
“开源的好处是,没有一个单一的实体,拥有超过一个项目的权威控制,”马克驾驶员,Gartner的分析师说。“没有单一的瓶颈。”一种理论认为,因为它是开源的,软件安全问题可以很快发现,他说。“但一个说法说,开放源代码的安全性较低,人们可以把不好的东西在里面,这是真的了,”他补充道。
不管有什么疑问,开源运动(现在有成千上万的志愿软件开发人员组成的“社区”)正在集体编码,以产生大量的操作系统和软件应用程序。开源不仅是这里留下来,它是改造传统商业软件的做法。
开源软件组件正在通过工具,如Eclipse和NetBeans工作到商业软件。Linux操作系统不仅成为企业的最爱,如在华尔街公司今天很明显,但是中间件应用程序,如Geronimo中时,JBoss,MySQL和Hibernate也正在成为企业普遍。
Gartner预计,到2013年,80%以上的生产商用软件将具有开源元素。IBM,红色的帽子和生命值都会参与其中,支持软件,这通常被视为一个加号。
今天的趋势是,IT企业和政府管理者试图通过它使公司评估每个开源软件项目,严格查看每个社区的成熟中加入扩展或修改bug保持其代码库。如果老牌厂商如
用于商业用途的最雄心勃勃的开源使用者仍倾向于“技术侵略性,”司机说,因为他们有一个内部的R&d团队,可以支持它,否则将聘请来自供应商的支持。
那么剩下的更紧迫的安全和知识产权的影响?
一个主要的问题是安全漏洞如何被发现并修复。经常有比可与封闭源代码的私有软件厂商找到工作不同的方法。
微软- 一旦接近头脑,谨慎,固执约在其产品中发现的安全漏洞,任何外人接受的建议 - 逐渐打开多年来建立与安全专家接触的线条清晰约他们发现漏洞离散份额的关键信息。
微软在这一领域的最新努力,推出了这个月,得出安全厂商更接近微软巨头,答应给他们的一组选定的访问漏洞数据提前做好微软每月安全公告的所以他们的软件修补产品可以准备的时刻微软的公共通知。微软称,它这样做是为了阻止黑客利用漏洞信息设计零日攻击
相反,开源社区往往无法与外部人员(可能是安全专家)建立清晰的沟通渠道,他们往往不信任这些人。在任何情况下,对许多人来说,保守秘密都违背了开源精神的本质。
“开源软件开发模式是如此不同,”说斯托米·彼得斯他是GNOME基金会的执行董事,该基金会为用户开发开源桌面应用程序Linux的许多厂商,包括分布式Novell公司和红色的帽子。“期望有安全服务或某个特定项目的联系方式在开源中是不太可能发生的,但通常会有一个邮件列表。”
这邮件列表通常是开放的,因为任何错误跟踪系统。“每当问题被解决,我们发出补丁,”彼得斯关于GNOME说,他说,责任通常都落在谁已经“提交权限”的权利,在改变的代码检查。
开源是一种“精英”,Peters说,虽然社区感觉最舒服了自己,“肯定有外人跟团互动的方式,只要你看起来可信的。”
彼得斯,谁也工作在咨询公司OpenLogic,发挥公司与开源社区之间的中介作用,同时在技术上审查400多份申请,敦促那些希望接触开源社区安全专家作出的努力,找到“正确的人交谈以”分享关于可能存在的漏洞的担忧。
有时候,使用开源企业内部提供了一个补丁,但他们可能不希望自己的名字与它相关联。但是补丁信息通常会在邮件列表上发送出去,彼得补充说,“每个人都会反正很快就会知道。”
一些安全厂商已经发现它可以更难以得到的消息,开源社区,而不是闭源供应商。
Fortify Software是一家安全公司,最近与顾问Larry Suto一起评估了11个基于java的开源应用程序的漏洞,发现它们都有显著的缺陷,Fortify想要报告给每个开源社区。
但根据Fortify的,只有Tomcat的,它开发了一个应用服务器,可以发现,使用安全“最佳实践” Fortify的主张,其中包括一个专门的电子邮件别名报告安全漏洞,容易获得安全专家或著名网站链接安全性信息。
Fortify寻求联系的其余开放源码项目,Hipergate、OpenCMS、Resin、Jonas、Derby、Geronimo、Struts、Ofbiz、JBoss和Hibernate都没有支持这三个项目,有些甚至从来没有回应过Fortify的询问。Fortify的报告关于它在联系开源项目报告产生了争议漏洞困难,一些开源支持者认为Fortify的研究,使之有理。
而
“我们已经提出了一个电子邮件地址,而广义上广播通知,”艾玛McGrattan,在安格尔工程的高级副总裁说,关于在将Ingres开源数据库安全补救自己的离散过程。“这是一件非常便宜的东西。”
安格尔,它赚取了面包和奶油通过服务,并授权其知识产权,对工作人员两名专职安全专家,并使用Klocwork的代码测试工具识别安全漏洞在审核安格尔代码。“一旦有人有修复,它的他们有责任将其提交到社区,”她还补充,“社区版是不太稳定。”
安格尔客户做的代码更改的知识产权方面的斗争。“围绕开源许可的合法性问题已经提出了对我们来说,” McGrattan承认。“律师也得到关注,因为他们已经看到了它潜入环境开放源代码。”
丹尼·艾伦,IBM Rational的安全研究主任,谁注意到IBM在开源强大的举措,如阿帕奇他说,企业确实在考虑开源所带来的安全和知识产权方面的影响。
“有风险的意识,比如什么,如果有在道路上的一个漏洞,”艾伦说。有关于谁是框架的安全性接触,或有什么故意包含恶意代码的可能性的担忧。
企业律师尤其对开源项目持怀疑态度,因为要找到负责任的人可能很难(如果不是不可能的话)。“在开源项目中,没有任何具体的责任,”Allen说,他补充说,他看到法律人员试图在合并期间找出开源软件,认为它比闭源软件的风险更高。
但是每个开源社区的外观和行为有点不同,注意到大卫麦克斯韦,开源策略Coverity公司,这使得Coverity的预防,静态分析工具,测量软件的质量。马克斯维尔也是一名软件开发NetBSD的开源项目,其中几百个人都有的代码更改“提交”正确的自愿合作。
两年多前,Coverity从国土安全部获得一份合同,在政府的开源硬化项目下对开源软件进行系统分析。
根据合同,开放源码项目被邀请免费使用Coverity Scan站点,目的是评估软件,以便修复任何缺陷。
Coverity Scan网站在两年的时间里分析了超过5500万行代码,这些代码来自250多个开源项目,包括Firefox、Linux和PHP。结果在五月份的“开源报告”中得到了总结。
根据“开源报告”,在250个项目中,大约有120个项目的开发人员积极减少代码中报告的缺陷。使用该工具在两年内减少了开源程序中超过8,500种不同的缺陷。但是总的来说,就干净的代码而言,开源软件并不是特别好。
这也很好地包括阿曼达的那些;NTP;的OpenPAM;OpenVPN的;过量;Perl的;PHP;Postfix的;蟒蛇;Samba和TCL,它解决了所有发现的缺陷,马克斯韦尔说。
“但120的其余的人反应不同级别的,”马克斯韦尔说,关于固定代码的过程。他承认,他自己的NetBSD,这是继其志愿者和加密通信选择安全官员的做法,仍与错误发现追赶。
开源软件的发展是人们基于他们的能力和奉献精神的群体的感知接受,创造一个自然形成的紧密的自愿者团体文化,麦克斯韦指出。因此,有可能给外人突然对软件安全坏消息出现顽强抵抗。
攻击者都在那里试图利用开放源代码的开放性,说一些。
许多开源项目利用并行版本系统(CVS)作为存储库的项目代码。即使这个预测提供了机会与可能希望监视代码变化和更新,以准备恶意软件和攻击代码的攻击。“人们利用的,所有的时间,”阿尔弗雷德休格,赛门铁克安全响应中心的副总裁。“他们看CVS和正在改变的日志。”
至于他是否发现开源社区与安全情报接近外人更持怀疑态度,休格说,每个社区都是不同的,但更多的沉默和怀疑的是那些从未接近前一个特定问题。社区是信息更开放,“如果他们之前有过类似的问题,”休格的结论。