您的位置: 网界网 > 周报全文 > 正文

[周报全文]安全与知识产权仍困扰开源

2008年09月10日 14:38:19 | 作者:CNW.com.cn | 来源: | 查看本文手机版

摘要:虽然开源软件已经在企业中赢得了一席之地,但人们对开源软件的安全性和知识产权问题仍未消除疑虑。

标签
安全性
开源软件
知识产权

虽然开源软件已经在企业中赢得了一席之地,但人们对开源软件的安全性知识产权问题仍未消除疑虑。

【CNW.com.cn 专稿】开源软件组件正在通过像EclipseNetBeans这样的工具进入商用软件。除了Linux操作系统,像GeronimoJBossMySQL Hibernate等中间件也在企业中变得很平常。Gartner估计,2013年,80%以上的商用软件将具有开源元素。

与此同时,开源的安全和知识产权问题也变得更为紧迫。因为开源,软件的安全性问题会被迅速发现。但也正因为开源,人们可以在其中加入恶意的东西。如何解决安全问题,将是对开源的最大考验。

开源社区

缺乏有效的安全交流渠道

在开源社区,对安全漏洞如何被发现和修补的问题,常常采用不同于商业软件厂商的方法。

Microsoft近几年逐步与企业外部的安全专家建立了通畅的联系,而其在这一领域的最新举措进一步拉近了与安全厂商之间的距离。Microsoft承诺其挑选出的安全厂商可以在Microsoft每月发布安全报告之前使用安全漏洞数据,以使他们的软件修补产品可以在Microsoft向公众发布通告时准备就绪。

相比之下,开源社区常常没有与外部安全人员建立通畅的交流渠道。

GNOME Foundation为许多厂商(包括NovellRed Hat)发行Linux开发开源桌面应用,其执行主管Stormy Peters说:“开源软件开发模型比较特殊,期望有安全服务或某一项目的联系人在这一领域几乎不太可能,不过通常会有邮件列表。”正如所有漏洞跟踪系统一样,这个邮件列表通常是开放的。Peters在谈到GNOME时说:“一旦安全问题被解决,我们就会发布补丁。”这个责任一般落在具有检查改变的代码的“提高权限”权的人肩上。

Peters说,开源社区是一个“精英联盟”,但“肯定存在外部人员与这个组织互动的途径,只要你看起来值得信任。”

Peters还在咨询公司OpenLogic任职。该公司一直在充当企业与开源社区之间的调解者,敦促希望与开源社区联系的安全专家设法找到了“与之交流的合适人员”来共同解决有关安全漏洞的问题。

内部使用开源软件的企业有时会提供补丁,虽然它们可能不想让自己的名字与此联系在一起。Peters说,补丁信息通常通过邮件列表传播出去,所有人不久后都会知道。

一些安全厂商发现向开源社区通报信息比向闭源厂商通报信息更困难。

Fortify Software是一家安全公司。它最近与咨询机构Larry Suto公司合作评估了11种基于Java的开源应用存在的安全漏洞,结果发现了所有应用都存在Fortify希望向每个开源社区通报的重大漏洞。

但是据Fortify说,仅有一家公司采用了Fortify建议的最佳实践,包括报告安全漏洞的专用电子邮件别名、方便地利用安全专家和连接安全信息的醒目的Web链接。其余Fortify试图联系的开源项目,HipergateOpenCMS ResinJonas Derby Geronimo StrutsOfbizJBossHibernate,都未能做到支持所有这3个最佳实践,有些干脆就未对Fortify的询问给出答复。尽管Fortify的这一报告引起了争议,但一些开源支持者认为Fortify的研究有其价值。

知识产权问题

限制开源在企业中的应用

Ingres公司高级副总裁Emma McGrattan在谈到它自己独立的Ingres开源数据库安全修补过程时说:“我们提供一个用于通知的电子邮件地址,而不是四处广播。这是非常廉价的方式。”

Ingres公司有两位全职安全专家,公司利用Klocwork代码测试工具确定被诊断的Ingres代码中存在的安全漏洞。McGrattan指出:“一旦有人修补了漏洞后,他有义务将补丁提交给社区。”并说:“社区版本不太稳定。”

Ingres的客户的确要应付修改代码的知识产权问题。McGrattan承认:“我们遇到了有关开源授权合法性的问题。当律师看到开源软件进入企业环境时,他们的确担心开源软件带来的知识产权问题。”

IBM Rational公司安全研究主管Danny Allen指出IBM拥有一些开源项目,比如ApacheAllen说,IBM也在考虑开源带来的安全和知识产权问题,“需要有风险意识,如未来出现安全漏洞该怎么办。”人们会关心谁是安全联系人或故意添加恶意代码的可能性有多大。

因为找到相关的负责人很困难,企业律师对开源项目也尤为警惕。Allen说:“在开源项目中,不存在任何具体的责任。”他补充说,他看到过法律人员试图在企业合并过程中发现开源软件,认为它比闭源软件风险更高。

但是,Coverity公司开源战略师David Maxwell指出,每个开源社区在外表和行为上都略有不同。

两年多前,Coverity赢得了国土安全部的一份合同,为该机构系统地分析政府的“开源加固项目”中的开源软件。根据合同(+微信关注网络世界),一些开源项目被邀请免费使用Coverity Scan套件来评估软件,使所有的漏洞都可能得到修补。

Coverity Scan套件两年时间里为250多个开源项目(包括FirefoxLinuxPHP)反复分析了5500多万行代码。5月份,Coverity在其“开源报告”中总结了工作结果。据这份报告,在250个项目中,大约120个项目拥有积极参与减少代码中发现的隐患的开发人员。使用Coverity Scan套件导致两年时间里开源程序减少了8500多种不同的隐患。不过,在干净的代码方面,开源软件大体上不是特别好。Maxwell说,做得很好的项目包括AmandaNTPOpenPAMOpenVPNOverdosePerlPHPPostfixPythonSambaTCL,这些项目解决了所有发现的隐患。

Maxwell在谈到修补过程时说:“这120个项目中余下的项目有着不同的响应水平。”他承认,他自己的NetBSD项目(该项目遵循从自愿人员中挑选安全官员和对通信进行加密的作法)仍在努力修补发现的隐患。

Maxwell指出,开源软件的开发是一种文化。在这种文化氛围中,人们根据集体对他们能力的认知和投入程度而得到接受,从而创建一种自动形成的紧密的自愿者群体。因此,突然出现的带来软件安全坏消息的外部人员,可能会遭到强烈的抵制。

一些人说,攻击者试图利用开源中的开放性。

许多开源项目利用并行版本系统(CVS)作为项目代码的信息库。甚至这种可预测性也为希望监视代码变化和更新来准备恶意软件和攻击代码的攻击者提供了机会。Symantec安全响应副总裁Alfred Huger说:“有人一直在利用这点。他们分析CVS和变化的日志。”

至于是否发现开源社区对带来安全情报的外部人员更警惕,Huger说,每个社区都是不同的,他得到的结论是,如果社区以前遇到过类似问题,它们对信息更容易接受。(美国《Network World》供本报专稿)(更多内容详见http://www.cnw.com.cn/P/221

相关链接

有关开源安全问题的几点建议

  与外部安全人员建立有效的沟通渠道

  采纳安全人员的建议

  定期公布安全漏洞相关情况

  安全问题被解决时,及时发布补丁

  企业在采用开源软件时,应注意相关知识产权问题

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]