观察:安全和知识产权问题的困扰

虽然开�?软件在�?业领域获得了一席之地，并且具备了与专有软件一争高下的实力，但是它似乎还是无法摆脱安全性和知识产�?�问题的困扰。

安全性和知识产�?�问题是�?生常谈了，自从开�?技术诞生之日起就一直饱�?�它们的“折磨�?。“开�?技术的优势在于没有一个�?�一的实体能够拥有对于一个开�?项 目的�?对控制�?�，�?著�??市场研究架构Gartner的资深分�?师Mark Driver说。“没有一个�?�一的瓶颈�?。其中一�?�?�论认为，因为它是开�?的，所以软件安全性方�?�存在的问题�?�以被很快�?�现。“但还有一�?�?�论认为，开�? 技术是�?太安全的，因为任何人都�?�以把�?��?代�?和软件放进它里�?�，这�?说法也很有�?��?�，�? Driver说。

尽管怀疑的言论 从�?�就没有�?�止过，�?过开�?�?动�?然如�?�如�?�地进行�?�。现在有数以万计的开�?社区和开�?软件开�?�人员�?�与开�?�?动，�?天产生的代�?�?大得惊人，这样的一个 直接结果就是产生了很多开�?�?作系统和应用程�?。开�?技术�?仅顽强地生存了下�?�，而且�?还正改�?��?�传统商业软件的�?�法。

开�? 软件组件通过一些开�?�工具已�?�?入到了商业软件中，比如Eclipse 和NetBeans。 Linux�?作系统已�?�?仅仅是�?业用户喜欢的一个选择了，�?�尔街的很多金�?巨头也开始使用Linux了。开�?中间件应用，比如Geronimo�? Jboss�?MySQL和 Hibernate也在�?业领域�?�得越�?�越�?�欢迎。

Gartner估计，到2013年，80％甚至更多的商业软件在开�?�过程中将会使用开�?技术。

在这�?大趋势下，越�?�越多的�?业和政府部门的IT管�?�人员想�?�?试一下开�?技术，这也是顺�?��?章的。�?过，他们在�?�出最终决定之�?，他们需�?对于�?一个 开�?软件以�?�它所�?附的公�?�进行仔细的评估，主�?从该开�?软件社区的�?熟度�?维护代�?库的能力以�?�能够�?�时添加扩展或修正错误方�?�进行详细考察。如果比较 �?熟的开�?供应商比如IBM�?红帽和惠普承诺支�?你所选择的开�?软件和开�?技术方案，那么通常这就�?会有什么问题。

“将开�?技术用户商业用途的最自信的用户往往在技术上�?�常自信，因为他们自己在内部拥有一个自己的研�?�团队，能够胜任开�?软件的修修补补，或者他们从开�?�商那里购买技术支�?。�?Driver说。

那么，开�?软件更迫切的安全和知识产�?�影�?是什么呢？

一个主�?的问题是开�?软件的安全�?洞是如何�?�现和修补的。与闭�?和专有软件供应商相比，开�?软件寻找�?洞和修补�?洞的方�?大�?相�?�。

软件业的巨人微软也曾�?把自己�?闭起�?�，当外界人员或�?业�?�现微软产�?�?洞并�??出建议时，微软通常表现得�?�常谨慎并且很勉强。�?过，近几年微软�?�?�?�外 界“敞开了心扉�?，与安全方�?�的专间建立了明确的�?�系，以便能够得到这些专家们�?�现的�?洞等关键信�?�，并�?�时开�?�出有效的补�?。

在这方�?�，微软的最新努力使得安全领域的专家与巨人�?离更近了。一个月�?，微软�?�表声明说，在微软的月度安全警告之�?，微软会将有关微软产�?的�?洞信�?� �?��?选定的一些安全厂商，这使得微软能够�?�在布公共通知之�?，修�?这些安全�?洞。微软声称，它这样�?�的目的是为了阻止黑客利用�?洞信�?�设计零时差 （zero-day attacks）攻击。

相比之下，开�?社区往往�?能与外界的安全技术专家�?�?明确的�?�系，他们往往对外部安全专家�?是很信任。无路如何，很多开�?社区�?密的�?�法�?背了开�?技术的本质精髓。

“与专有软件相比，开�?软件的开�?�模�?有很大的�?�?�，�? GNOME Foundation的执行总监Stormy Peters说。GNOME Foundation主�?研�?�用于�?��?Linux�?�行版的桌�?�应用程�?，包括Novell和红帽。“�?一具体的开�?项目通常�?会给你�??供安全�?务或一个�?� 络人，但通常会给你一个邮件列表。�?

该邮件列表通常是开放的，正如任何错误追踪系统一样。“�?当问题被修�?和解决时，我们就会�?�布一个补�?程�?或�?�级�?��?，�? Peters在谈到GNOME时说。“这些责任通常就�?�在那些有�?�检查代�?改�?�的那些人身上了。�?

开�?人�?都是 “精英�?，Peters说，尽管开�?社区对于“自给自足�?的方�?感到�?�常舒适和满�?，�?过“如果你看起�?�足够�?�信的�?，外界专家一定能找到一�?方�?与开�?社区交�?。�?

咨询公�?�OpenLogic主�?任务就是充当外界公�?�和开�?社区之间交�?的媒介，负责在技术上检查400多个开�?应用。该公�?�高级顾问 Peters敦促那些想�?与开�?社区交�?的安全专家努力在开�?社区中找到能交�?的�?�适人员，从而共�?�关注�?�能出现的缺陷并�?�?�?�时的交�?。

有时，使用开�?软件的�?业在内部�??供一个补�?程�?，虽然他们�?�能�?希望自己将这件事情公布于众。�?过，补�?信�?�一般将会�?�给邮寄清�?�中的�?个用户，Peters说，“�?个人很快就会知�?�这个消�?�的。�?

一些安全厂商已�?�?�现，将一些消�?�传递给开�?社区�?比传递给闭�?供应商困难得多。

Fortify Software是全�?�最大的软件安全厂商，最近该公�?�与安全顾问Larry Suto�?�手对11个基于Java的开�?应用软件和程�?包进行了一次�?洞评估，并且对近三个月以�?��?�个开�?社区对于安全性问题的回应进行了总结。 Fortify Software�?�现这11个软件都有很明显的安全�?洞并希望能把这些信�?��??馈给开�?社区。

在研究报告 中，Fortify Software指出，开�?�?软件对于正在使用它的公�?��?�说，�?�能会带�?�巨大的安全风险，因为在许多情况下，开�?社区没有�?�守最起�?的安全最佳�?�法。这一 研究报告的目标之一就是�?找出这11个开�?软件的社区能够对于软件安全性问题�?�?洞结果�?�?�布的安全指�?�和安全的开�?�过程迅速�?�出回应。

在这11个开�?软件或项目中，开�?应用�?务器的Tomcat的表现是最好的。因为�?�有Tomcat使用了Fortify Software一直�??倡的安全最佳�?�法。其中包括一个用于报告安全�?洞的专门的电�?邮件别�??，一个与安全专家交�?的方�?以�?�一个链接到安全信�?�的醒目 Web链接。

其余的10个开�?应用�?工具和数�?�库软件包— Derby�?Geronimo�?Hibernate�?Hipergate�?Jboss�?Jonas�?OFBiz�?OpenCMS�?Resin�? Struts—结果很令人沮丧，甚至有些对于Fortify Software的调查�?予回应。在这10个开�?软件中，应用�?务器JBoss的得分最高，因为它在自己的官方网站上�??供一个醒目的链接。该链接能连接到 安全信�?�上并且是快速与安全专家沟通的一�?方�?。但�?足之处就在于没有�??供一个具体的电�?邮箱别�??，从而方便访客�??交安全�?洞。

“你�?想将错误报告给一个通用的邮件列表，因为这将会公开化，�? Fortify Software安全研究�?组�?�?�Jacob West说。需�?有一�?�??交错误报告的秘密方法，因为这样就能在公众被通知是�?�布这些错误的补�?包，因此�?��?攻击者�?能得到他们�?�以利用的早期资料。

但是，�?费�??供开�?软件的社区往往对于安全性�?�法的关注�?如商业软件商�?�得好，�?�者会�??供充分的技术支�?，West说。

Random Posts