开源安全问题

汪佳茗

随着开源社区的蓬勃发展，现在很难找到一款完全不包含任何开源组件的程序。而开源组件的安全性问题却没有得到足够重视，甚至有人认为开源软件都是安全的，其实不然。

开源安全的特点：
1.        由于源代码公开，所有发现的漏洞都会被第一时间公布，因此也容易被攻击者利用
2.        开源组件的作者通常都会在发现问题后立刻修复并发布新版本，而软件的最终用户往往得不到最及时的更新。
3.        在软件开发和验收过程中，人们往往无法准确判断软件里包含哪些开源组件，是否存在严重安全隐患。

中国开源安全联盟部分的解决了这些开源漏洞的定位问题。 联盟在其官网上提供免费二进制可执行文件扫描服务。可以对exe, jar, apk, ipk, iso, bin, dll, dmg, pkg等多种二进制文件进行扫描，不仅能定位开源漏洞并提供CVE编号和修补方案，还能分析出所使用的开源组件清单，据说使用的是国际上律师事务所和知识产权海关同样的分析技术。

在2006年的LinuxWorld大会上，Linux内核维护人考克斯强调，有相当数量的资金被用来攻击开放源代码系统。他警告说，许多开放源代码项目远谈不上安全，许多资金都被用来破坏开放源代码系统的安全。媒体上经常有这样的字眼：开放源代码软件更安全、更可靠，缺陷也更少。这是一种危险的观点。

CVE 是国际著名的安全漏洞库，也是对已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。在风险评估中最重要也是最困难的两个环节就是风险的量化，以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系，而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。