雖然開源軟件在企業領域獲得了一席之地,並且具備了與專有軟件一爭高下的實力,但是它似乎還是無法擺脫安全性和知識產權問題的困擾。
安全性和知識產權問題是老生常談了,自從開源技術誕生之日起就一直飽受它們的“折磨”。“開源技術的優勢在於沒有一個單一的實體能夠擁有對於一個開源項目的絕對控制權,”著名市場研究架構Gartner的資深分析師Mark Driver說。“沒有一個單一的瓶頸”。其中一種理論認為,因為它是開源的,所以軟件安全性方面存在的問題可以被很快發現。“但還有一種理論認為,開源技術是不太安全的,因為任何人都可以把惡意代碼和軟件放進它裡面,這種說法也很有道理,” Driver說。
盡管懷疑的言論從來就沒有停止過,不過開源運動依然如火如荼地進行著。現在有數以萬計的開源社區和開源軟件開發人員參與開源運動,每天產生的代碼量大得驚人,這樣的一個直接結果就是產生了很多開源操作系統和應用程序。開源技術不僅頑強地生存了下來,而且要還正改變著傳統商業軟件的做法。
開源軟件組件通過一些開發工具已經融入到了商業軟件中,比如Eclipse 和NetBeans。 Linux操作系統已經不僅僅是企業用戶喜歡的一個選擇了,華爾街的很多金融巨頭也開始使用Linux了。開源中間件應用,比如Geronimo、Jboss、MySQL和 Hibernate也在企業領域變得越來越受歡迎。
Gartner估計,到2013年,80%甚至更多的商業軟件在開發過程中將會使用開源技術。
在這種大趨勢下,越來越多的企業和政府部門的IT管理人員想要嘗試一下開源技術,這也是順理成章的。不過,他們在做出最終決定之前,他們需要對於每一個開源軟件以及它所依附的公司進行仔細的評估,主要從該開源軟件社區的成熟度、維護代碼庫的能力以及能夠及時添加擴展或修正錯誤方面進行詳細考察。如果比較成熟的開源供應商比如IBM、紅帽和惠普承諾支持你所選擇的開源軟件和開源技術方案,那麼通常這就不會有什麼問題。
“將開源技術用戶商業用途的最自信的用戶往往在技術上非常自信,因為他們自己在內部擁有一個自己的研發團隊,能夠勝任開源軟件的修修補補,或者他們從開發商那裡購買技術支持。”Driver說。
那麼,開源軟件更迫切的安全和知識產權影響是什麼呢?
一個主要的問題是開源軟件的安全漏洞是如何發現和修補的。與閉源和專有軟件供應商相比,開源軟件尋找漏洞和修補漏洞的方式大不相同。
軟件業的巨人微軟也曾經把自己封閉起來,當外界人員或企業發現微軟產品漏洞並提出建議時,微軟通常表現得非常謹慎並且很勉強。不過,近幾年微軟逐漸向外界“敞開了心扉”,與安全方面的專間建立了明確的聯系,以便能夠得到這些專家們發現的漏洞等關鍵信息,並及時開發出有效的補丁。
在這方面,微軟的最新努力使得安全領域的專家與巨人距離更近了。一個月前,微軟發表聲明說,在微軟的月度安全警告之前,微軟會將有關微軟產品的漏洞信息發送選定的一些安全廠商,這使得微軟能夠發在布公共通知之前,修復這些安全漏洞。微軟聲稱,它這樣做的目的是為了阻止黑客利用漏洞信息設計零時差(zero-day attacks)攻擊。
相比之下,開源社區往往不能與外界的安全技術專家保持明確的聯系,他們往往對外部安全專家不是很信任。無路如何,很多開源社區保密的做法違背了開源技術的本質精髓。
“與專有軟件相比,開源軟件的開發模式有很大的不同,” GNOME Foundation的執行總監Stormy Peters說。GNOME Foundation主要研發用於各種Linux發行版的桌面應用程序,包括Novell和紅帽。“某一具體的開源項目通常不會給你提供安全服務或一個聯絡人,但通常會給你一個郵件列表。”
該郵件列表通常是開放的,正如任何錯誤追蹤系統一樣。“每當問題被修復和解決時,我們就會發布一個補丁程序或升級升序,” Peters在談到GNOME時說。“這些責任通常就落在那些有權檢查代碼改變的那些人身上了。”
開源人才都是 “精英”,Peters說,盡管開源社區對於“自給自足”的方式感到非常舒適和滿意,不過“如果你看起來足夠可信的話,外界專家一定能找到一種方式與開源社區交流。”
咨詢公司OpenLogic主要任務就是充當外界公司和開源社區之間交流的媒介,負責在技術上檢查400多個開源應用。該公司高級顧問 Peters敦促那些想要與開源社區交流的安全專家努力在開源社區中找到能交流的合適人員,從而共同關注可能出現的缺陷並保持及時的交流。
有時,使用開源軟件的企業在內部提供一個補丁程序,雖然他們可能不希望自己將這件事情公布於眾。不過,補丁信息一般將會發給郵寄清單中的每個用戶,Peters說,“每個人很快就會知道這個消息的。”
一些安全廠商已經發現,將一些消息傳遞給開源社區要比傳遞給閉源供應商困難得多。
Fortify Software是全球最大的軟件安全廠商,最近該公司與安全顧問Larry Suto聯手對11個基於Java的開源應用軟件和程序包進行了一次漏洞評估,並且對近三個月以來各個開源社區對於安全性問題的回應進行了總結。 Fortify Software發現這11個軟件都有很明顯的安全漏洞並希望能把這些信息反饋給開源社區。
在研究報告中,Fortify Software指出,開源碼軟件對於正在使用它的公司來說,可能會帶來巨大的安全風險,因為在許多情況下,開源社區沒有遵守最起碼的安全最佳做法。這一研究報告的目標之一就是要找出這11個開源軟件的社區能夠對於軟件安全性問題、漏洞結果、發布的安全指南和安全的開發過程迅速做出回應。
在這11個開源軟件或項目中,開源應用服務器的Tomcat的表現是最好的。因為只有Tomcat使用了Fortify Software一直提倡的安全最佳做法。其中包括一個用於報告安全漏洞的專門的電子郵件別名,一個與安全專家交流的方式以及一個鏈接到安全信息的醒目Web鏈接。
其余的10個開源應用、工具和數據庫軟件包--- Derby、Geronimo、Hibernate、Hipergate、Jboss、Jonas、OFBiz、OpenCMS、Resin、 Struts---結果很令人沮喪,甚至有些對於Fortify Software的調查不予回應。在這10個開源軟件中,應用服務器JBoss的得分最高,因為它在自己的官方網站上提供一個醒目的鏈接。該鏈接能連接到安全信息上並且是快速與安全專家溝通的一種方式。但不足之處就在於沒有提供一個具體的電子郵箱別名,從而方便訪客提交安全漏洞。
“你不想將錯誤報告給一個通用的郵件列表,因為這將會公開化,” Fortify Software安全研究小組經理Jacob West說。需要有一種提交錯誤報告的秘密方法,因為這樣就能在公眾被通知是發布這些錯誤的補丁包,因此惡意攻擊者不能得到他們可以利用的早期資料。
但是,免費提供開源軟件的社區往往對於安全性做法的關注不如商業軟件商做得好,後者會提供充分的技術支持,West說