还有就是现在的一些组织机构委托大学和一些商业公司做开源软件的测试,包括安全性测试。美国政府有这样的专项拨款,澳大利亚政府也有这样的部门评估,新西兰政府还安排专人作评估报告。
在南非,开源软件大踏步的前进,最为大家熟知的就是Ubuntu的发起人Mark在那里所做出的贡献,一句“Linux for Human Being”就是很好的注释。
在欧洲对开源的关注和评估更是如火如荼,用Google Map搜索一下开源软件公司就会发现在欧洲这个版图上有很多的公司,可以说是密度居世界第一,而且有的公司业务就是做开源软件安全性评估和测试的,他们提供专业的服务,这点也最大程度地保证了开源软件的安全性。
软件升级需主动
在软件的跟踪维护方面,闭源软件都是商业公司的产品,他们有资金和能力成立专门的部门做好这些事情,给客户很好的保障,而开源软件却不能。其实这种观点是片面的,因为开源软件与之相比,无论在问题发现和解决速度上都毫不逊色于闭源软件。
一个成熟的开源软件有成千上万的用户在使用,而且很大一部分就是商业用户和政府组织,他们发现的问题会及时的发布出来,而且还会将解决方案和建议一起提交,这对软件的维护跟踪、问题解决和信息发布都是十分有利的。
字串6
相对而言,闭源软件当内部人员发现问题,但还没有解决掉问题之时,一般不会发布公告。当外部用户发现问题,由于自己手中没有源代码,就算有能力解决,或者计划想办法解决都不可以,只能够等待软件提供商解决,在补丁发布之前,除了等待毫无选择。
软件的升级一般有两层意思:一层是功能上的增加和提升;另一层是对原有软件的安全性,也就是发现的漏洞和问题的修正。
在这个问题上我们要探讨升级的主动性和被动性,对“生产”闭源软件的商业软件提供商而言,对升级的问题不是很主动;而在软件发布后的安全问题上,更是以被动为主,都是根据市场反馈和用户投诉解决问题,不能够从公司内部积极的查找问题,修正错误。
一个例外就是软件由于发布时间期限的压力,一些内部知道的安全问题本身就随着软件一起发布,但是暂时不为人知,商业公司会继续投入人员进行解决,然后以“升级”的名义对其进行修正。
而开源软件却是另外一种情况,从开发团队核心到外围的普通用户,大家都努力将软件打造的尽可能安全,这种对软件中问题的一致情绪源于大家的责任心和对开源软件精神的认同,当然也有少数的个人英雄主义人士的存在,但是这一切都是主动的,而不是被动的,这种主动性让开源软件的安全性有了可以站立的基石,使得开源软件愈发安全。 字串7
链 接
开源软件存在安全问题
在2006年的LinuxWorld大会上,Linux内核维护人考克斯强调,有相当数量的资金被用来攻击开放源代码系统。他警告说,许多开放源代码项目远谈不上安全,许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼:开放源代码软件更安全、更可靠,缺陷也更少。这是一种危险的观点。
考克斯表示,许多分析都只关注知名度很高的项目。对SourceForge上150个项目的分析显示,它们在安全方面的表现不如Linux,只有部分项目的“高质量”是名符其实的。
开源安全工具
Nmap是一款开源的网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取那台主机正在运行以及提供什么服务等信息。Nmap支持很多扫描技术,例如:UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描等。