就在不久前，開源Web軟件還只是企業(yè)的優(yōu)勢領(lǐng)域;而現(xiàn)在，幾乎所有網(wǎng)絡(luò)領(lǐng)域都有大量基于開源的Web系統(tǒng)在運行。從網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備到存儲系統(tǒng)再到云端企業(yè)應(yīng)用，可以說，開源Web應(yīng)用的足跡遍布所有企業(yè)。

盡管開源Web應(yīng)用在企業(yè)的普及率非常廣，但令人驚訝的是，并沒有多少人在尋找漏洞以及保持開源系統(tǒng)的更新。對于開源人們帶有偏見的成分，并不像對某些操作系統(tǒng)的支持，例如Novell NetWare和Mac OS X。開源宣言是：開源就是開源，因此，它很“安全”。這里的設(shè)定是，鑒于開源代碼廣泛可用，意味著每個人都已經(jīng)嚴(yán)格地審核它，并已解決其漏洞，讓其免受攻擊。也就是說，大家都在假設(shè)別人正在處理漏洞問題。

顯然，假定別人在處理漏洞問題并不是很好的可長期實行的信息風(fēng)險管理戰(zhàn)略。圍繞SSL的安全問題就是很好的例子，這說明開源也不是沒有安全方面的挑戰(zhàn)。而且，根據(jù)Web應(yīng)用安全漏洞掃描儀供應(yīng)商Netsparker的最新研究發(fā)現(xiàn)，很多企業(yè)信任且依賴的開源Web應(yīng)用包含很多安全漏洞。2011年以來，該公司已經(jīng)掃描396個開源Web應(yīng)用，共發(fā)現(xiàn)269個漏洞，包括跨站腳本(180)、文件包含(16)以及SQL注入(55)。

筆者常常很懷疑這種基于供應(yīng)商的研究數(shù)據(jù)，但筆者在自己執(zhí)行Web應(yīng)用漏洞和滲透測試后也發(fā)現(xiàn)相同的結(jié)論。事實上，大多數(shù)漏洞(特別是關(guān)鍵漏洞)出現(xiàn)在開源平臺中，而且，還遠(yuǎn)不止這些。筆者發(fā)現(xiàn)掃描儀只發(fā)現(xiàn)了一半的Web漏洞，另一半隱藏在老式的Web瀏覽器中。這就不只是傳統(tǒng)Web安全問題了，還可能影響所有應(yīng)用。

不要盲目相信開源Web應(yīng)用可以免受攻擊，就算它們是“免費”的或在非關(guān)鍵系統(tǒng)中運行。企業(yè)不僅要在其持續(xù)的安全測試中涵蓋這些系統(tǒng)，還需要考慮通過商業(yè)工具或開源工具來執(zhí)行靜態(tài)源代碼分析。企業(yè)還應(yīng)該確保定期補丁管理程序中開源軟件部分的執(zhí)行。企業(yè)應(yīng)該將其開源應(yīng)用整合到其系統(tǒng)監(jiān)控和警報、以及整體事件響應(yīng)程序中。最重要的是讓開源系統(tǒng)處于檢查范圍中，決不能讓它們“離開視線”。