[[171008]]

就在不久前，開(kāi)源Web軟件還只是企業(yè)的優(yōu)勢(shì)領(lǐng)域;而現(xiàn)在，幾乎所有網(wǎng)絡(luò)領(lǐng)域都有大量基于開(kāi)源的Web系統(tǒng)在運(yùn)行。從網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備到存儲(chǔ)系統(tǒng)再到云端企業(yè)應(yīng)用，可以說(shuō)，開(kāi)源Web應(yīng)用的足跡遍布所有企業(yè)。

盡管開(kāi)源Web應(yīng)用在企業(yè)的普及率非常廣，但令人驚訝的是，并沒(méi)有多少人在尋找漏洞以及保持開(kāi)源系統(tǒng)的更新。對(duì)于開(kāi)源人們帶有偏見(jiàn)的成分，并不像對(duì)某些操作系統(tǒng)的支持，例如Novell NetWare和Mac OS X。開(kāi)源宣言是：開(kāi)源就是開(kāi)源，因此，它很“安全”。這里的設(shè)定是，鑒于開(kāi)源代碼廣泛可用，意味著每個(gè)人都已經(jīng)嚴(yán)格地審核它，并已解決其漏洞，讓其免受攻擊。也就是說(shuō)，大家都在假設(shè)別人正在處理漏洞問(wèn)題。

顯然，假定別人在處理漏洞問(wèn)題并不是很好的可長(zhǎng)期實(shí)行的信息風(fēng)險(xiǎn)管理戰(zhàn)略。圍繞SSL的安全問(wèn)題就是很好的例子，這說(shuō)明開(kāi)源也不是沒(méi)有安全方面的挑戰(zhàn)。而且，根據(jù)Web應(yīng)用安全漏洞掃描儀供應(yīng)商N(yùn)etsparker的最新研究發(fā)現(xiàn)，很多企業(yè)信任且依賴的開(kāi)源Web應(yīng)用包含很多安全漏洞。2011年以來(lái)，該公司已經(jīng)掃描396個(gè)開(kāi)源Web應(yīng)用，共發(fā)現(xiàn)269個(gè)漏洞，包括跨站腳本(180)、文件包含(16)以及SQL注入(55)。

筆者常常很懷疑這種基于供應(yīng)商的研究數(shù)據(jù)，但筆者在自己執(zhí)行Web應(yīng)用漏洞和滲透測(cè)試后也發(fā)現(xiàn)相同的結(jié)論。事實(shí)上，大多數(shù)漏洞(特別是關(guān)鍵漏洞)出現(xiàn)在開(kāi)源平臺(tái)中，而且，還遠(yuǎn)不止這些。筆者發(fā)現(xiàn)掃描儀只發(fā)現(xiàn)了一半的Web漏洞，另一半隱藏在老式的Web瀏覽器中。這就不只是傳統(tǒng)Web安全問(wèn)題了，還可能影響所有應(yīng)用。

不要盲目相信開(kāi)源Web應(yīng)用可以免受攻擊，就算它們是“免費(fèi)”的或在非關(guān)鍵系統(tǒng)中運(yùn)行。企業(yè)不僅要在其持續(xù)的安全測(cè)試中涵蓋這些系統(tǒng)，還需要考慮通過(guò)商業(yè)工具或開(kāi)源工具來(lái)執(zhí)行靜態(tài)源代碼分析。企業(yè)還應(yīng)該確保定期補(bǔ)丁管理程序中開(kāi)源軟件部分的執(zhí)行。企業(yè)應(yīng)該將其開(kāi)源應(yīng)用整合到其系統(tǒng)監(jiān)控和警報(bào)、以及整體事件響應(yīng)程序中。最重要的是讓開(kāi)源系統(tǒng)處于檢查范圍中，決不能讓它們“離開(kāi)視線”。