2003年,Sreenivasa Rao Vadalasetty帮助为SANS研究所撰写了一份报告,题为“在企业需求中使用开源软件的安全问题”。对今天的一些人来说,这个头衔几乎是可笑的。
这份报告说:”尽管开放源码有可能比封闭源码更安全,但不应该想当然地认为开放源码更安全,因为存在一些约束因素。尽管源代码对每个人都是可用的,但开放源代码中的几个漏洞仍未被发现....”。
在一个调查调查结果显示,开源软件的使用有所增加。这项调查分析了创纪录的1300名高管和高级IT专业人士的意见,结果显示,78%的受访者表示,他们的公司至少有一部分运营是基于开源的,这一数字自2010年以来已经翻了一番。
“从那时起,我们走过了很长的路。显然,开源已经成为软件开发的默认基础,几乎渗透到现代企业的每个方面,并在质量、成本、定制和安全方面胜过专有包,”与Black Duck合作进行调查的North Bridge的普通合伙人Paul Santinelli说。
调查还指出,55%的人认为开源提供了卓越的安全性。
“开源安全产品已经被使用了20多年。让我们以Snort为例。发布于1998年,用于IDS/IPS由我们自己的一些政府三字母组织。由于专有软件供应商FUD策略,OSS最初因为安全性差而受到了坏名声。许多公司已经意识到,为OSS发布的修复安全性的补丁比大多数专有产品要多。为什么?任何给定项目中的社区规模、敏捷流程以及快速行动解决任何问题的需求。私有供应商仍然锁定了财务和(人力资源)应用……但这可能是开源软件创新的下一个领域,”他补充道。
Rook Security的应用和产品开发主管Michael Taylor表示,开源社区一直在为通用和安全目的创造出色的工具。“这些工具之所以成功,是因为它们是公开创建的,所以代码实际上在做什么并不神秘。这让每个用户都可以自己决定是否对这些工具的操作感到满意。”
此外,他说,用户可以通过创建附加功能、错误报告和项目代码审查来参与开发过程。社区的参与极大地增加了测试人员和代码评审人员的数量。
[同样是关于cso:开源安全的状态]
“我们在安全和日常活动中使用了许多不同的开源工具。大多数人可能以这样或那样的形式使用过开源项目,比如手机、汽车或其他家庭设备中的操作系统,以及许多其他嵌入式系统。这些平台的安全性通常来自不同的开放源码项目的组件。举例来说,车载嵌入式Linux系统的安全组件可以在生产网络服务器上看到。”Taylor说。
许多开源工具比闭源工具更容易使用。代码工作方式的可见性使最终用户能够快速地将开源工具集成到现有系统中。“当我们检查潜在的新工具时,选择一个满足我们需求的开源项目通常比其他选择更好。这是因为我们能够快速部署一个开源工具,而无需向其他公司做出财务承诺。它也让我们确定使用新项目的概念证明,”他说。
Rook Security使用SNORT和Suricata进行网络监控,Elasticsearch作为数据库解决方案处理多种类型的数据,OpenSSH使用强加密和身份验证方法安全地连接到主机。
Linux基金会(Linux Foundation)开源战略高级总监兼分析师比尔•温伯格(Bill Weinberg)表示,开源软件几乎被部署在企业基础设施的每个方面,以及企业网络的各个方面,“在几年前是无法想象的”。
他援引Gartner的一份报告称,平均29%的企业软件堆栈由开源软件组成,一流的组织在其投资组合中使用了高达80%的开源软件,从而释放了资金和资源来开发,获取和部署商业/专有代码,用于最具差异化和/或关键业务功能。
当被问及开源对企业网络的每个角落是否安全时,他说:“问题不在于开源对PII是否足够安全——而是处理PII的系统是否足够安全。整个网络和运行在其上的应用程序,如今是专有代码和开放源代码的令人兴奋的混合物。”