您的位置:軟件測(cè)試 > 開(kāi)源軟件測(cè)試 > 開(kāi)源軟件測(cè)試解決方案 >
五個(gè)佳實(shí)踐 保障開(kāi)源軟件安全
作者:網(wǎng)絡(luò)轉(zhuǎn)載 發(fā)布時(shí)間:[ 2013/12/11 10:03:07 ] 推薦標(biāo)簽:

  表面上來(lái)看,開(kāi)源軟件對(duì)于中小企業(yè)(SMB)似乎意義重大。因?yàn)殚_(kāi)源軟件是免費(fèi)的并且在網(wǎng)站上是可以自由使用的,可以幫助節(jié)省很大一部分預(yù)算。但重要的是,它理應(yīng)要比現(xiàn)成的商業(yè)軟件要更安全。

  但是開(kāi)源軟件真的像它標(biāo)榜的一樣安全嗎?

  誠(chéng)然,開(kāi)源軟件的源代碼是開(kāi)放的,全世界的開(kāi)發(fā)者和軟件使用者都可以隨意地選擇使用修改這些源代碼。不過(guò),像其對(duì)應(yīng)的商業(yè)軟件一樣,開(kāi)源軟件在安裝部署之前需要對(duì)其進(jìn)行加固、修復(fù)和鎖定。

  這里有五個(gè)要素可以幫助中小企業(yè)們保證其開(kāi)源應(yīng)用程序的安全。

  軟件詳細(xì)目錄

  如果你的公司還沒(méi)有建立軟件詳細(xì)目錄,那么好馬上去做一個(gè)。因?yàn)樵敿?xì)目錄可以幫助你管理安裝在公司內(nèi)部的所有軟件。即使在一個(gè)小公司里,軟件應(yīng)用程序的數(shù)量(開(kāi)源軟件或者其他)都可能不受控制。購(gòu)買的商業(yè)軟件可以保留發(fā)票作為記錄保存,而開(kāi)源軟件卻可以任意地從網(wǎng)站下載下來(lái)后而不留下任何痕跡。

  不僅應(yīng)該保存記有開(kāi)源軟件下載日期和時(shí)間的日志,并且在開(kāi)源軟件被安裝之前還應(yīng)該檢查其完整性。開(kāi)源軟件配備了MD5 hashes或者GNU Privacy Guard簽名,可以通過(guò)他們來(lái)核實(shí)所下載的軟件是否完整完全。如果軟件沒(méi)有通過(guò)完整性檢查,需要重新下載,同時(shí)這些也應(yīng)該記錄在日志中。

  補(bǔ)丁管理

  對(duì)開(kāi)源軟件的補(bǔ)丁管理可能會(huì)很棘手,但是也很關(guān)鍵。發(fā)布周期和更新時(shí)間表往往不是同步的,這使補(bǔ)丁規(guī)劃很難進(jìn)行,但是可以通過(guò)另外的途徑進(jìn)行補(bǔ)丁管理。

  對(duì)于擁有小型開(kāi)源軟件基礎(chǔ)的中小企業(yè)來(lái)說(shuō),手工打補(bǔ)丁可能是便宜的選擇了(如果不是選擇的話)。對(duì)于Apache和Jakarta等有補(bǔ)丁定期發(fā)布周期但是不能像Linux系統(tǒng)一樣自動(dòng)更新的開(kāi)源產(chǎn)品,你需要手動(dòng)檢查和運(yùn)行他們的技術(shù)補(bǔ)丁。

  對(duì)于較小的中小企業(yè),還有另外一種選擇,是定期查看開(kāi)源網(wǎng)站并通過(guò)腳本自動(dòng)安裝更新程序。大部分系統(tǒng)管理員都可以編寫腳本,并且可以把腳本設(shè)置成在空閑的時(shí)候有間隔地運(yùn)行---或者深更半夜的時(shí)候。

  但是隨著中小企業(yè)的不斷發(fā)展,手動(dòng)更新和腳本逐漸變得不實(shí)用的時(shí)候,可以考慮使用補(bǔ)丁管理工具了。不幸的是,大部分補(bǔ)丁管理工具都是和 Windows更新相連的。不過(guò)市面上有一些產(chǎn)品可以對(duì)開(kāi)源軟件進(jìn)行更新,包括,PatchLink update和Shavlik Technologies LLC公司的NetChk Protect。

  網(wǎng)絡(luò)與防火墻的兼容性

  開(kāi)源軟件像所有軟件一樣,可能需要啟用特定的TCP端口接入因特網(wǎng)。但是在為開(kāi)源軟件開(kāi)啟端口的時(shí)候一定要確保沒(méi)有開(kāi)啟你的網(wǎng)絡(luò)中的其他安全端口。

  另外,開(kāi)源軟件與你現(xiàn)有的網(wǎng)絡(luò)安全體系之間的兼容性也很重要。如果采用某個(gè)開(kāi)源應(yīng)用程序或者軟件需要對(duì)你的網(wǎng)絡(luò)體系作徹底改變,并且還可能危及網(wǎng)絡(luò)的安全時(shí),你也許需要重新考慮該軟件是否適合你的公司并尋找其替代品。

  訪問(wèn)管理

  在安裝任何開(kāi)源軟件的時(shí)候,你應(yīng)該立即改變所有默認(rèn)安全設(shè)置來(lái)阻止黑客的侵入,他們經(jīng)常能記錄普通用戶的ID和密碼。

  同時(shí),如果可能的話,更新開(kāi)源軟件配備的內(nèi)置訪問(wèn)管理系統(tǒng)。例如,Apache使用的是基本身份驗(yàn)證(basic authentication)和“摘要”式認(rèn)證(digest authentication)---這些可以很輕易地被黑客攻破,以及使用了一個(gè)名為“htaccess”的文件提供密碼保護(hù)來(lái)限制對(duì)某些網(wǎng)站目錄的訪問(wèn)。好不要單純的依賴這些,還應(yīng)該很多更好的辦法來(lái)限制訪問(wèn),例如使用Apache的配置文件和安全模塊或者使用操作系統(tǒng)鎖定服務(wù)器本身。

  測(cè)試和掃描

  Fortify軟件公司和Ounce Labs公司的工具可以掃描軟件的漏洞,另外,SPI Dynamics公司的WebInspect和Watchfire公司的AppScan可以檢查出使用Apache或者其他開(kāi)源軟件網(wǎng)站服務(wù)器的網(wǎng)站中的漏洞。

  總言之,開(kāi)源的確比對(duì)應(yīng)的商業(yè)軟件要更安全,但是在對(duì)開(kāi)源軟件進(jìn)行安裝、配置和修復(fù)時(shí),需要采取一定的措施保證這些過(guò)程的安全。資金和資源都非常有限的中小企業(yè)應(yīng)該要比那些較大的公司更適合采用開(kāi)源軟件,他們可以并且也應(yīng)該這樣做。

軟件測(cè)試工具 | 聯(lián)系我們 | 投訴建議 | 誠(chéng)聘英才 | 申請(qǐng)使用列表 | 網(wǎng)站地圖
滬ICP備07036474 2003-2017 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd