開源的優勢、風險與未來
責編:gltian |2021-07-05 11:10:12
任何事情都要計算成本的世界里,尋求經濟高效的方案來解決業務問題再正常不過。現實世界中,這意味著“免費”,數字市場上,那就是“開源”。
? 開源軟件別名“免費軟件”
自互聯網早期時代開始,開源軟件(OSS)就常伴我們左右。不過,那個時候還沒有開源軟件這一說,大家都叫它們“免費軟件”。直到1998年Palo Alto免費軟件峰會更名為“開源峰會”,這個術語才被固定下來。
根據OpenSource.com的說法,開源代表著一整套價值觀,也就是他們所謂的“開源方法”。OpenSource網站聲稱,“開源項目、開源產品或開源倡議采納并頌揚開放交換、協作參與、快速原型、透明、精英管理和面向社區的開發原則”。
??開源的優勢
使用開源軟件的好處顯而易見,這也是開源軟件廣為使用且加速普及的原因所在。我們不得不從最明顯的優勢開始,那就是:開源是免費的。因為免費,所以對尋求成本控制或削減的任何企業而言都具有吸引力。需要在購買專有軟件還是使用免費版軟件之間做出選擇時,很多小型企業的考慮重點不是功能,而是價格。
開源軟件采用精英管理體制開發,任何人都能訪問代碼,查看應用開發方法和過程,提供功能增強或改善。因此,開源技術的開發過程中可以融入更多協作、創新和改善。可以訪問代碼同時也意味著,漏洞利用程序或代碼缺陷可以被研究人員或開發人員更快地發現。然后項目負責人就可以解決識別出的問題了。如果未解決,那么問題最終會出現在國家漏洞數據庫(NVD)中。
??開源的風險
優勢與風險并存。在觸及圍繞開源的運營問題之前,我們必須先考慮一個基礎問題:因為不叫免費軟件,依靠開源軟件運營就是可以接受的嗎?如果IT主管向董事會解釋稱自家企業的安全由開源軟件管理,董事會或許不會有太大的反應。但如果告訴董事會說公司用的是免費軟件,那他們的反應可能就不一樣了。如果我們很清楚開源軟件都用在什么地方,這就不成問題。但由于開源的形式和規模多樣,企業真的了解開源軟件所涉及的風險嗎?
于是,我們引出開源軟件使用方面的第二個問題:控制問題,尤其是許可控制問題。管理傳統軟件解決方案的部署方式已經夠難的了,面對大量的開源軟件,如果沒有采用一定的管理機制,跟蹤記錄龐雜的許可就能讓企業頭痛不已。
??房間里的(安全)大象
開源的強大之處在于同好之間協作和分享想法的能力。這些人的想法往往是利他主義和向善的。然而,不可否認的是,網絡罪犯也充分意識到了開源軟件的普及和人們對開源軟件的依賴。網絡安全從業者卻沒對開源軟件的使用投以足夠的關注,這可能是由于忽視了開源技術或其在企業的使用。
似乎無人提及,但顯而易見的一點是:開源軟件支持協作和快速原型,但這同樣的方法也可被網絡犯罪社區用來向應用中注入惡意代碼。此外,開源社區廣泛識別和公布漏洞利用程序,網絡罪犯可以利用這些信息滲透缺乏健壯補丁管理過程的企業。這種情況很普遍,因為開源軟件的使用不像專有軟件那樣控制嚴格。
風險管理和網絡安全從業人員需更加密切地關注這一領域,因為如果沒有充分考慮或評估開源軟件,他們就會面臨發生安全事件和(國際安全標準)違規的風險。
??開源的未來
毫無疑問,開源軟件還會繼續發展下去,這是件好事。知道了上述開源風險后還這么說或許會令人驚訝,但開源軟件的粉絲確實很多。不過,了解并考慮與開源軟件使用相關的風險也是必要的。希望使用開源應用的企業應該弄清自己為什么要使用開源應用,并考慮其使用過程中涉及到的潛在風險。例如,設計軟件、字處理軟件等軟件應用就比較適合采用開源軟件代替,但用于管理或監控整個網絡或系統的應用就不建議采用開源軟件了。針對后一種情況,最好是實現非開源的監控工具,或者實現出自單一源而非開源的入侵檢測或入侵預防工具。
開源不是壞事。事實上,技術無關好壞,但如何使用這些技術就需要我們好好考慮了。
來源:數世咨詢
下一篇:北約云平臺遭到黑客入侵