此外,根據“多雙眼睛”的安全理論,很多人在關注和審查代碼(例如世界上最大的金融公司的安全專業人員),可以快速找到并修復任何問題。
開源軟件是免費的嗎?
難怪有人說大部分互聯網都運行在開源軟件上。這是因為大多數網站都運行在由Apache和Nginx公司領導的開源軟件上,大多數企業服務器都運行在Linux操作系統上。
還有一些數據中心使用Apache Mesos和HashCorp的Nomad這兩個開源數據中心操作系統。
網絡安全公司TrapX的首席營銷官Anthony James表示,Kubernetes和Docker是用于在服務器集群上部署容器的流行開源平臺,可提供應用程序的自動化、擴展和運行。流行的開源數據庫服務器還包括MySQL和MariaDB等。
即使商業軟件也無法抵擋開源趨勢。Synopsys公司表示,現在96%的商業應用程序都提供開源組件,而追蹤開源代碼的Black Duck 軟件公司是Synopsys公司的子公司。
開源組件使商業軟件商店和內部團隊的開發更快、成本更低。
“所有這些都將產生一堆開源軟件。”Black Duck公司高級技術專家Tim Mackey說,“但是開源代碼的傳播有一個缺點,那就是補丁管理。”
“很多人表示,那么我如何打補丁呢?”Mackey說,“他們還不是很了解。”
為什么開源軟件打補丁很難
當商業軟件推出最新版本或補丁時,開發商可以向他們的客戶推送。這些企業知道客戶在哪里,因為有財務激勵,軟件開發商希望向客戶出售更多產品。
開源項目并非如此。任何人都可以下載開源軟件,而無需任何聯系或付款。如果有更新或安全補丁,將由用戶自己來維護、下載并安裝。
Sungard Availability Services公司安全管理與風險總監Mitch Kavalsky表示:“開源軟件對漏洞修復的支持沒有保證,當漏洞未得到修補時,其風險將會增加。”
這就是為什么在美國和歐洲擁有多個數據中心的托管服務商Atlantic.net公司的關鍵任務系統并沒有采用開源軟件的原因。
Atlantic.net公司首席執行官Marty Puranik表示:“關鍵任務系統需要有一個已知的維護路徑,如果發生了錯誤,采用開放源代碼可能只有等待新版本的推出。隨著時間的推移,開源軟件更多的發展,但我們還沒有采用。”
但是企業希望遠離開源軟件并不總是那么容易。大多數企業甚至不知道其環境中有哪些開源軟件、工具和組件。當Apache公司去年為其開源Struts Web應用程序框架發布了安全補丁時,Equifax公司在它的環境中搜索了兩次受影響的代碼。盡管Equifax正在使用Struts,但未能及時找到并修補它,并且這個漏洞曾經導致1.35億條個人記錄泄露。
更糟糕的是,當開源代碼隱藏在商業軟件包中時,使用它們的公司甚至可能不知道這些漏洞在哪里。
Black Duck公司表示,67%的商業應用程序正在使用具有已知漏洞的組件。
開發人員并不總是檢查他們使用的開源組件是否是最新版本,甚至在他們這樣做時也沒有檢查,而一旦將開源組件添加到代碼中,開發人員很少檢查是否發布了更新,它們可能已經轉移到其他項目上,或者干脆忘記了他們使用的所有組件。
同時,并不是所有的開源項目都對安全性給予足夠的重視。較大的開源項目可能會有企業的團隊來跟蹤和修復漏洞并發布補丁。但是較小的項目可能沒有足夠的人員來管理。
瞻博網絡網絡安全策略師Nick Bilogorskiy表示,“根據經驗,大多數采用開源軟件的項目都難于保持最新狀態,并且冒著被已知漏洞利用的巨大風險。”
此外,黑客可以看到代碼本身,并試圖找出濫用它的方法。
GuardiCore公司研究副總裁Ofri Ziv表示,他們甚至可以利用自己可以利用的秘密后門將補丁提交給開源項目。如果開源項目程序員很少或不夠專業,他們可能不會發現問題。
“由于這些原因,采用免費或開源解決方案將帶來更大的風險。”位于佛羅里達州的網絡安全廠商5nine軟件公司的首席技術官Konstantin Malkov說。
那么采用什么樣的解決方案?
第一步是掌握數據中心使用的開源軟件。
通常,IT經理和開發人員可以上網并下載他們需要的工具和組件,而無需任何監督。因為它是免費的,沒有購買過程,所以沒有監督。
特別是,數據中心需要謹慎采用來自小項目的開源軟件,因為沒有強大的社區來維護它。最后,人們需要采取行動。
“應該盡快實施響應式補丁實踐,以盡快處理問題,”洛杉磯的網絡安全公司Prevoty的首席技術官兼共同創始人Kunal Anand說。
畢竟,居心不良的人不會無動于衷。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號