Sonatype的首席安全官Ryan Berg在Gigaom上撰文稱，我們不應(yīng)該把安全性問題歸咎于開源本身，事實上，專用軟件也會出現(xiàn)這樣的問題。應(yīng)對安全問題真正的做法應(yīng)該是注重產(chǎn)品生命周期內(nèi)的每個環(huán)節(jié)，采取措施提高軟件開發(fā)中每個方面的安全性。

以下為文章全文：

上個月，由于受到黑客攻擊， OnRamp免費廣告服務(wù)被迫關(guān)閉，對數(shù)百萬的網(wǎng)站造成嚴(yán)重影響。OnRamp的母公司 OpenX在其在論壇上發(fā)布了一份官方聲明，質(zhì)疑了開源技術(shù)的安全性。

對此，表示，這不是一個開源的問題，并且我們不應(yīng)該把責(zé)任推給開源用戶和生產(chǎn)廠商。開源的經(jīng)濟(jì)和生產(chǎn)效率使得它幾乎是任何現(xiàn)代軟件應(yīng)用程序的強制組件。我們在開源上都獲得了巨大的好處——發(fā)展快速，重復(fù)利用經(jīng)過驗證的組件，讓用戶能在專有領(lǐng)域的軟件特色上集中更多的時間。

這不僅僅證明了開源的好處，更表明它是必要的。這也是為什么超過7萬個企業(yè)在去年于Central Repository上為開源組件處理了接近80億請求，覆蓋了所有主要類別的應(yīng)用程序，包括網(wǎng)絡(luò)、云、移動和關(guān)鍵基礎(chǔ)設(shè)施。

不爭的事實是今天一個典型的軟件應(yīng)用程序中有超過80%的組裝是用現(xiàn)有的組件進(jìn)行組裝的，并且其中的絕大多數(shù)都是開源的，來自數(shù)十個，或數(shù)百個單獨項目。所有的垂直行業(yè)，無論是監(jiān)管和非監(jiān)管，都在內(nèi)部和面向用戶的應(yīng)用程序中使用大量的開源組件。

開源是必要的

你可以把今天的軟件開發(fā)組織想象成汽車制造商，開發(fā)人員使用現(xiàn)有的部件或零件“組裝”應(yīng)用程序，而不是從頭編寫應(yīng)用程序。但與制造業(yè)不同，軟件行業(yè)缺少必要的工具對一個復(fù)雜的分布式軟件供應(yīng)鏈的復(fù)雜性和風(fēng)險性進(jìn)行管理。

基于組件的開發(fā)需要管理，當(dāng)監(jiān)督不完整時，安全問題就會出現(xiàn)。簡單地說，一個有缺陷的軟件供應(yīng)鏈意味著有缺陷的應(yīng)用程序。我們的研究表明，至少71%的應(yīng)用程序包含組件有已知的被列為嚴(yán)重或關(guān)鍵的安全漏洞。

Digital Forensics Association 發(fā)布的《 The Leaking Vault 2011》稱，在短短的時間里，有超過1560億美元的直接損失可以歸因于數(shù)據(jù)泄露。由Forrester和Veracode對 應(yīng)用風(fēng)險管理進(jìn)行的一項的商業(yè)調(diào)查發(fā)現(xiàn)，62%的受訪機(jī)構(gòu)表示，由于他們關(guān)鍵應(yīng)用中的缺陷，他們曾在過去一年里發(fā)現(xiàn)漏洞。

減少不可避免的風(fēng)險

現(xiàn)在，問題就變成了如何在降低風(fēng)險與部件消耗的同時，實現(xiàn)開源的好處。當(dāng)然，對開源軟件來說，有不斷的和復(fù)雜的威脅，專有軟件同樣存在這樣的威脅。我們知道其中的危險來自于使用已發(fā)現(xiàn)漏洞的過時組件，來自于沒有一個可強制執(zhí)行的開源政策，并且開源軟件沒有與管理組件執(zhí)照或許可證的依賴關(guān)系。

重要的是要明白，這是一個供應(yīng)鏈的問題：你需要在軟件開發(fā)生命周期(消費、發(fā)展、集成和生產(chǎn)的過程)內(nèi)的每個階段管理組件。

降低安全風(fēng)險

要降低安全風(fēng)險，我們要在組件層上加強整個對軟件開發(fā)生命周期的保護(hù)措施，提高整個軟件供應(yīng)鏈的完整性。想象一下，如果一個流行的開源組件中存在漏洞風(fēng)險，并且由于組件被許多應(yīng)用程序所使用，那么這個組件就會成為黑客眼中的一個香饃饃。

下面是減少風(fēng)險的一些關(guān)鍵：

研究一個開源的政策，如果你的組織還沒有的話。如果你有，則經(jīng)常檢查它。確保它對開發(fā)團(tuán)隊來說是明確的，并對安全管理的過程負(fù)責(zé)，讓它得到每個人的支持。

確保你的政策為組件安全、許可和質(zhì)量屬性提供關(guān)鍵指南。除此之外，開源的策略需包羅萬象，概述組織的標(biāo)準(zhǔn)和價值觀，創(chuàng)建更多的指導(dǎo)方針來驅(qū)動使用決策。

確保你的政策是可強制執(zhí)行的。如果沒有執(zhí)行能力，那么還有什么意義?紙上談兵的政策將被忽略，所以要尋找方法將執(zhí)行整合到軟件開發(fā)過程本身。

為開發(fā)人員提供所需要的信息，以便他們做出正確的選擇。你的開發(fā)人員處于第一線，所以要給他們戰(zhàn)斗能力。讓他們能夠在初期檢測到缺陷或不符合規(guī)定的地方，盡早節(jié)省時間和資金。

理清生產(chǎn)、庫存組件和它們之間的依賴關(guān)系。在進(jìn)行故障排查的過程中了解你的應(yīng)用程序的構(gòu)成是成功的一半。

密切關(guān)注新發(fā)現(xiàn)的缺陷。新的漏洞可能會在任何時間出現(xiàn)，當(dāng)一個新的漏洞出現(xiàn)時，你要第一時間發(fā)現(xiàn)，并知道哪個組件正在使用。

要有一個補救措施。不管發(fā)生在生命周期里的哪個環(huán)節(jié)，都要知道如何進(jìn)行解決。修復(fù)缺陷并不總是容易的，所以我們需要擁有一個計劃。

無論是使用開源軟件或?qū)Ｓ熊浖赓M軟件或付費軟件，都請記住這一點：如果我們能通過建立良好的組件方法來維護(hù)組件層，那么對產(chǎn)品的整個生命周期都是有好處的。