表面上來看,開源軟件對于中小企業(yè)(SMB)似乎意義重大。因?yàn)殚_源軟件是免費(fèi)的并且在網(wǎng)站上是可以自由使用的,可以幫助節(jié)省很大一部分預(yù)算。但重要的是,它理應(yīng)要比現(xiàn)成的商業(yè)軟件要更安全。
但是開源軟件真的像它標(biāo)榜的一樣安全嗎?
誠然,開源軟件的源代碼是開放的,全世界的開發(fā)者和軟件使用者都可以隨意地選擇使用修改這些源代碼。不過,像其對應(yīng)的商業(yè)軟件一樣,開源軟件在安裝部署之前需要對其進(jìn)行加固、修復(fù)和鎖定。
這里有五個(gè)要素可以幫助中小企業(yè)們保證其開源應(yīng)用程序的安全。
軟件詳細(xì)目錄
如果你的公司還沒有建立軟件詳細(xì)目錄,那么好馬上去做一個(gè)。因?yàn)樵敿?xì)目錄可以幫助你管理安裝在公司內(nèi)部的所有軟件。即使在一個(gè)小公司里,軟件應(yīng)用程序的數(shù)量(開源軟件或者其他)都可能不受控制。購買的商業(yè)軟件可以保留發(fā)票作為記錄保存,而開源軟件卻可以任意地從網(wǎng)站下載下來后而不留下任何痕跡。
不僅應(yīng)該保存記有開源軟件下載日期和時(shí)間的日志,并且在開源軟件被安裝之前還應(yīng)該檢查其完整性。開源軟件配備了MD5 hashes或者GNU Privacy Guard簽名,可以通過他們來核實(shí)所下載的軟件是否完整完全。如果軟件沒有通過完整性檢查,需要重新下載,同時(shí)這些也應(yīng)該記錄在日志中。
補(bǔ)丁管理
對開源軟件的補(bǔ)丁管理可能會(huì)很棘手,但是也很關(guān)鍵。發(fā)布周期和更新時(shí)間表往往不是同步的,這使補(bǔ)丁規(guī)劃很難進(jìn)行,但是可以通過另外的途徑進(jìn)行補(bǔ)丁管理。
對于擁有小型開源軟件基礎(chǔ)的中小企業(yè)來說,手工打補(bǔ)丁可能是便宜的選擇了(如果不是選擇的話)。對于Apache和Jakarta等有補(bǔ)丁定期發(fā)布周期但是不能像Linux系統(tǒng)一樣自動(dòng)更新的開源產(chǎn)品,你需要手動(dòng)檢查和運(yùn)行他們的技術(shù)補(bǔ)丁。
對于較小的中小企業(yè),還有另外一種選擇,是定期查看開源網(wǎng)站并通過腳本自動(dòng)安裝更新程序。大部分系統(tǒng)管理員都可以編寫腳本,并且可以把腳本設(shè)置成在空閑的時(shí)候有間隔地運(yùn)行---或者深更半夜的時(shí)候。
但是隨著中小企業(yè)的不斷發(fā)展,手動(dòng)更新和腳本逐漸變得不實(shí)用的時(shí)候,可以考慮使用補(bǔ)丁管理工具了。不幸的是,大部分補(bǔ)丁管理工具都是和 Windows更新相連的。不過市面上有一些產(chǎn)品可以對開源軟件進(jìn)行更新,包括,PatchLink update和Shavlik Technologies LLC公司的NetChk Protect。
網(wǎng)絡(luò)與防火墻的兼容性
開源軟件像所有軟件一樣,可能需要啟用特定的TCP端口接入因特網(wǎng)。但是在為開源軟件開啟端口的時(shí)候一定要確保沒有開啟你的網(wǎng)絡(luò)中的其他安全端口。
另外,開源軟件與你現(xiàn)有的網(wǎng)絡(luò)安全體系之間的兼容性也很重要。如果采用某個(gè)開源應(yīng)用程序或者軟件需要對你的網(wǎng)絡(luò)體系作徹底改變,并且還可能危及網(wǎng)絡(luò)的安全時(shí),你也許需要重新考慮該軟件是否適合你的公司并尋找其替代品。
訪問管理
在安裝任何開源軟件的時(shí)候,你應(yīng)該立即改變所有默認(rèn)安全設(shè)置來阻止黑客的侵入,他們經(jīng)常能記錄普通用戶的ID和密碼。
同時(shí),如果可能的話,更新開源軟件配備的內(nèi)置訪問管理系統(tǒng)。例如,Apache使用的是基本身份驗(yàn)證(basic authentication)和“摘要”式認(rèn)證(digest authentication)---這些可以很輕易地被黑客攻破,以及使用了一個(gè)名為“htaccess”的文件提供密碼保護(hù)來限制對某些網(wǎng)站目錄的訪問。好不要單純的依賴這些,還應(yīng)該很多更好的辦法來限制訪問,例如使用Apache的配置文件和安全模塊或者使用操作系統(tǒng)鎖定服務(wù)器本身。
測試和掃描
Fortify軟件公司和Ounce Labs公司的工具可以掃描軟件的漏洞,另外,SPI Dynamics公司的WebInspect和Watchfire公司的AppScan可以檢查出使用Apache或者其他開源軟件網(wǎng)站服務(wù)器的網(wǎng)站中的漏洞。
總言之,開源的確比對應(yīng)的商業(yè)軟件要更安全,但是在對開源軟件進(jìn)行安裝、配置和修復(fù)時(shí),需要采取一定的措施保證這些過程的安全。資金和資源都非常有限的中小企業(yè)應(yīng)該要比那些較大的公司更適合采用開源軟件,他們可以并且也應(yīng)該這樣做。
