“我们正在进入一个‘后专有’时代,在这个时代,如果没有一些开源软件的集成,基本上就不可能构建和部署应用程序。这种现象延伸到企业桌面、企业数据中心应用、云计算,当然还有移动/嵌入式应用。”2020欧洲杯预赛
Weinberg说,在处理高度专有和敏感信息的同时,财务和人力资源也不能免受使用开源的好处。“在办公场所,人力资源和财务应用程序运行在Linux上,并集成了一系列开源库和中间件,”他说。
他指出,专注于“网络”,即由部署在路由器、接入点、NAS和其他网络节点上的至少80%的代码组成的(嵌入式)网络设备是开源的。
[也:开源项目是通向更好安全的道路吗?]
Santinelli补充说:“只是为了好玩,我查看了2007年的调查反馈,发现有些人实际上把开源贴上了“噱头”的标签,大多数人认为,初创软件供应商只有在非开源的产品/服务上才能成功。”
调查显示,在评估内部使用的安全技术时,45%的受访者首先考虑的是开源。
Aleksandr Yampolskiy是securityscocard的联合创始人兼首席执行官,也是开源的支持者。他引用了“许多人的眼睛”理论,认为审查代码的人越多,漏洞通过的可能性就越小。有了广泛的同行评审过程,他对使用开源产品感到很舒服。开源产品的唯一缺点是缺乏支持。根据合同,商业供应商有义务对其产品的问题作出回应。
Black Duck的产品策略副总裁Michael Pittenger说,开源的支持模式是倒退的。“这取决于你(作为用户)是否有该软件的新版本可用,”他说,并补充说,你必须参与,以了解何时发现了漏洞。
他说,当涉及到人力资源等部门时,“我没有发现任何公司回避开源”。“在这种支持模式下,没有什么东西会推送给用户。”
“使用开源解决方案,无论是用于PII、财务记录还是专有信息,都不应该是大多数机构所关心的问题。底层的加密算法、通信协议和操作系统通常已经是开源的。
他补充说,这使得研究人员可以直接检查代码的缺陷和漏洞。要研究由闭源产品交付的预编译二进制文件就更加困难了。
“如果在一个封闭源代码的软件中发现了漏洞,最终用户必须等待该公司生产和发布补丁。开源项目通常能够更快地生成补丁,因为项目的所有最终用户和开发人员都在朝着解决方案努力,”他说。“最终,公司有责任为他们的数据找到并使用一个足够安全的解决方案。在软件即服务的模式中,责任可能会在一定程度上推迟到服务提供商身上,但公司的声誉仍然会受到损害。”
他不认为公司的任何部门本来就不应该使用开源软件。开源工具的管理通常会有更高的开销,有时还会缺乏支持(一些明显的例外是Red Hat、Elasticsearch等)。
“开源已经巩固了它作为软件开发默认基础的地位。它几乎渗透到了现代(网络)的每个方面。在创业社区,我们看到了开源诞生公司的持续浪潮——红帽、Acquia和Ubuntu的下一波浪潮,同时看到惠普和微软等传统IT领袖将开源DNA嫁接到他们的核心。”Santinelli说。“在未来几年,我们将看到开源技术释放新一代技术的潜力——物联网、大数据和云计算创造数十亿美元的价值。”
Rook Security的创始人兼首席执行官j·j·汤普森(J.J. Thompson)表示,开源工具非常有用,它可以提供丰富的数据,增强攻击的背景,以方便攻击。许多商业工具提供关于IDS签名或原始IP的信息,但并没有将它们全部粘合在一起。
他说:“与其试图找到一个超大规模的公司来做这件事(没有一家公司能有效地做到这一点),内部团队用公开来源的威胁情报把碎片自己粘合在一起往往更好。”
此外,他说,用脚本捕获关于遭受攻击的资产的信息可以帮助安全团队决定如何根据资产的业务关键性有效地作出响应。
2003年的SANS报告指出,企业在选择开源解决方案而不是闭源解决方案之前,应该进行广泛的风险和安全分析,这在今天仍然是正确的。分析应该考虑各种因素,如内部可用的专业知识和各个开源产品可用的支持选项。良好的文档记录和实现的安全策略和最佳实践有助于企业降低风险并享受开源的真正好处。
这篇题为“开源安全不再像以前那样令人担忧”的文章最初是由方案 .