企業(yè)在使用開源技術(shù)時，其中一個考慮便是開源軟件的安全性。筆者已經(jīng)不只一次指出，為何開源 軟件 會比較安全。但每隔一段時間，總會有人提出相反的論點(diǎn)，現(xiàn)在又是時候發(fā)文以正視聽了。

Aspect Security和Sonatype在2012年3月26日，公開了這份名為New Study Reveals Widespread Use of Vulnerable Open-Source Components by the Global 500的調(diào)查。調(diào)查結(jié)果發(fā)現(xiàn)最受歡迎的31個開源程序中，其不安全的版本被下載了超過4,600萬次。Google Web Toolkit(GWT)有已知漏洞的版本，被下載了1,770萬次。其他像Xerces、Spring MVC、Struts 1.x等程序的不安全版本，也被下載了相當(dāng)?shù)拇螖?shù)。

這算是什么調(diào)查結(jié)果?頂多只能說不少開源程序過去都曾出現(xiàn)過有漏洞的版本。任何一個程序都會有漏洞，開源程序也不例外。大家說開源程序比較安全，原因只是因?yàn)槌绦虼a是公開的、而且有全球開發(fā)人員的協(xié)助，有漏洞時會更快地被發(fā)現(xiàn)、更快的被修正。以開源瀏覽器Firefox為例，2009年Secunia的調(diào)查發(fā)現(xiàn)，F(xiàn)irefox的零時差漏洞最快在15天內(nèi)已經(jīng)修補(bǔ)，最長修補(bǔ)時間為86天。Internet Explorer最少要110天才修補(bǔ)完高度風(fēng)險的零時差漏洞， 最長則花了294天。

這點(diǎn)大概Sonatype也是明白的，所以在文章的下一段便出現(xiàn)了這樣的描述：“開源社群的檢查令漏洞被發(fā)現(xiàn)的機(jī)會大增，事實(shí)上開源軟件在系統(tǒng)安全的報告、比同類型的專屬軟件多出20%”，表示開源軟件在偵測漏洞的活躍程度，比專屬軟件為高。這樣有什么問題?

Sonatype認(rèn)為，問題出在開源軟件缺乏軟體更新的集中管理機(jī)制，沒有把相關(guān)資料通知用戶的設(shè)計，令用戶一直在沿用有問題的版本。Sonatype的人大概沒有用過Linux系統(tǒng)里的yum和apt吧?當(dāng)有更新檔提供時，系統(tǒng)會取得最新資訊自動通知用戶更新。看來無法取得最新資訊的是Sonatype?如果大家有興趣看看這篇語無倫次的文章，不妨看這里。

【編輯推薦】

1. 主流開源協(xié)議比較
2. 大數(shù)據(jù)時代 開源商業(yè)化——機(jī)遇與責(zé)任并存
3. 大數(shù)據(jù)時代 微軟被迫接受開源