表面上來(lái)看��,開(kāi)源軟件對(duì)于中小企業(yè)(SMB)似乎意義重大�����。因?yàn)殚_(kāi)源軟件是免費(fèi)的并且在網(wǎng)站上是可以自由使用的,可以幫助節(jié)省很大一部分預(yù)算��。但重要的是�����,它理應(yīng)要比現(xiàn)成的商業(yè)軟件要更安全�。
但是開(kāi)源軟件真的像它標(biāo)榜的一樣安全嗎?
誠(chéng)然,開(kāi)源軟件的源代碼是開(kāi)放的���,全世界的開(kāi)發(fā)者和軟件使用者都可以隨意地選擇使用修改這些源代碼�。不過(guò)��,像其對(duì)應(yīng)的商業(yè)軟件一樣,開(kāi)源軟件在安裝部署之前需要對(duì)其進(jìn)行加固���、修復(fù)和鎖定��。
這里有五個(gè)要素可以幫助中小企業(yè)們保證其開(kāi)源應(yīng)用程序的安全���。
軟件詳細(xì)目錄
如果你的公司還沒(méi)有建立軟件詳細(xì)目錄,那么好馬上去做一個(gè)���。因?yàn)樵敿?xì)目錄可以幫助你管理安裝在公司內(nèi)部的所有軟件��。即使在一個(gè)小公司里���,軟件應(yīng)用程序的數(shù)量(開(kāi)源軟件或者其他)都可能不受控制。購(gòu)買的商業(yè)軟件可以保留發(fā)票作為記錄保存���,而開(kāi)源軟件卻可以任意地從網(wǎng)站下載下來(lái)后而不留下任何痕跡���。
不僅應(yīng)該保存記有開(kāi)源軟件下載日期和時(shí)間的日志,并且在開(kāi)源軟件被安裝之前還應(yīng)該檢查其完整性���。開(kāi)源軟件配備了MD5 hashes或者GNU Privacy Guard簽名���,可以通過(guò)他們來(lái)核實(shí)所下載的軟件是否完整完全�。如果軟件沒(méi)有通過(guò)完整性檢查����,需要重新下載,同時(shí)這些也應(yīng)該記錄在日志中�。
補(bǔ)丁管理
對(duì)開(kāi)源軟件的補(bǔ)丁管理可能會(huì)很棘手,但是也很關(guān)鍵�����。發(fā)布周期和更新時(shí)間表往往不是同步的����,這使補(bǔ)丁規(guī)劃很難進(jìn)行��,但是可以通過(guò)另外的途徑進(jìn)行補(bǔ)丁管理����。
對(duì)于擁有小型開(kāi)源軟件基礎(chǔ)的中小企業(yè)來(lái)說(shuō),手工打補(bǔ)丁可能是便宜的選擇了(如果不是選擇的話)�����。對(duì)于Apache和Jakarta等有補(bǔ)丁定期發(fā)布周期但是不能像Linux系統(tǒng)一樣自動(dòng)更新的開(kāi)源產(chǎn)品,你需要手動(dòng)檢查和運(yùn)行他們的技術(shù)補(bǔ)丁�。
對(duì)于較小的中小企業(yè),還有另外一種選擇����,是定期查看開(kāi)源網(wǎng)站并通過(guò)腳本自動(dòng)安裝更新程序。大部分系統(tǒng)管理員都可以編寫腳本��,并且可以把腳本設(shè)置成在空閑的時(shí)候有間隔地運(yùn)行---或者深更半夜的時(shí)候�����。
但是隨著中小企業(yè)的不斷發(fā)展���,手動(dòng)更新和腳本逐漸變得不實(shí)用的時(shí)候��,可以考慮使用補(bǔ)丁管理工具了���。不幸的是,大部分補(bǔ)丁管理工具都是和 Windows更新相連的����。不過(guò)市面上有一些產(chǎn)品可以對(duì)開(kāi)源軟件進(jìn)行更新,包括,PatchLink update和Shavlik Technologies LLC公司的NetChk Protect����。
網(wǎng)絡(luò)與防火墻的兼容性
開(kāi)源軟件像所有軟件一樣,可能需要啟用特定的TCP端口接入因特網(wǎng)����。但是在為開(kāi)源軟件開(kāi)啟端口的時(shí)候一定要確保沒(méi)有開(kāi)啟你的網(wǎng)絡(luò)中的其他安全端口。
另外��,開(kāi)源軟件與你現(xiàn)有的網(wǎng)絡(luò)安全體系之間的兼容性也很重要�。如果采用某個(gè)開(kāi)源應(yīng)用程序或者軟件需要對(duì)你的網(wǎng)絡(luò)體系作徹底改變,并且還可能危及網(wǎng)絡(luò)的安全時(shí)����,你也許需要重新考慮該軟件是否適合你的公司并尋找其替代品。
訪問(wèn)管理
在安裝任何開(kāi)源軟件的時(shí)候����,你應(yīng)該立即改變所有默認(rèn)安全設(shè)置來(lái)阻止黑客的侵入,他們經(jīng)常能記錄普通用戶的ID和密碼�����。
同時(shí)����,如果可能的話,更新開(kāi)源軟件配備的內(nèi)置訪問(wèn)管理系統(tǒng)�����。例如���,Apache使用的是基本身份驗(yàn)證(basic authentication)和“摘要”式認(rèn)證(digest authentication)---這些可以很輕易地被黑客攻破��,以及使用了一個(gè)名為“htaccess”的文件提供密碼保護(hù)來(lái)限制對(duì)某些網(wǎng)站目錄的訪問(wèn)����。好不要單純的依賴這些�,還應(yīng)該很多更好的辦法來(lái)限制訪問(wèn),例如使用Apache的配置文件和安全模塊或者使用操作系統(tǒng)鎖定服務(wù)器本身���。
測(cè)試和掃描
Fortify軟件公司和Ounce Labs公司的工具可以掃描軟件的漏洞�����,另外����,SPI Dynamics公司的WebInspect和Watchfire公司的AppScan可以檢查出使用Apache或者其他開(kāi)源軟件網(wǎng)站服務(wù)器的網(wǎng)站中的漏洞。
總言之��,開(kāi)源的確比對(duì)應(yīng)的商業(yè)軟件要更安全�����,但是在對(duì)開(kāi)源軟件進(jìn)行安裝�����、配置和修復(fù)時(shí)����,需要采取一定的措施保證這些過(guò)程的安全。資金和資源都非常有限的中小企業(yè)應(yīng)該要比那些較大的公司更適合采用開(kāi)源軟件�,他們可以并且也應(yīng)該這樣做。
