谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

开源软件和专有软件一样安全吗?

by Canonical on 3 October 2023

数据泄露和公司遭到入侵的新闻时常发生在我们身边,勒索软件造成的生存威胁几乎笼罩着每一个使用计算机的企业组织。

这种局面带来的后果之一是,我们被越来越多的软件更新所困扰,从手机和电脑到吸尘器和汽车;需要下载这个,重启那个,安装更新。大多数这些设备和工具都运行开源组件——在 2022 年开源安全和风险分析报告中,Synopsys 发现,在 17 个垂直行业中,93% 的代码库都包含开源软件。

我们所看到的安全问题是否与使用开源软件有关?专有软件是否具有更高的固有安全性或更多的安全性优势?

简单的回答就是否。人们发现安全漏洞越来越多,原因仅仅是世界上生产的软件前所未有地多,而且软件功能正逐渐融入我们生活的更多方面。

事实上,开源软件一直处于这种技术变革的前沿,它让世界上的任何人都有途径和机会开发出不能免费访问这些资源就无法实现的功能和产品。

晦涩难懂不代表安全

编程器通常为两种受众编写源代码。首先,是为将要执行代码的计算机编写源代码。其次,是为其他编程器编写源代码,用于以后更新、调整和维护代码。正是这第二个方面赋予了开源软件广泛的吸引力:每个人都能看到代码,理解代码,并在知道自己理解代码的情况下安全地使用代码。

但对于计算机来说,代码被编译成 CPU 可以直接处理和执行的机器可读形式。这种机器语言对于人类而言很难理解:尽管可以看到程序在做什么,但要理解机器语言既非常困难,也非常耗时,这就导致人们普遍认为这使得它更加安全。

然而,晦涩难懂并不代表安全,而且有很多干劲十足的人喜欢挑战对编译程序进行反汇编,以研究其内部工作原理。

这一话题在 Ubuntu 播客第 185 期有深入讨论。

如何安全地使用开源软件?

开源软件确有漏洞,这和专有软件或闭源软件一样。两种模式下的软件供应商均有义务掌握漏洞报告,发布补丁和修复,并保证用户的安全。但是,您也可以应用一些最佳范例来降低风险。

Synopsys 在其 2022 年的分析中发现,85% 的代码库包含过期四年以上的开源代码。无论代码是开源还是专有的,最关键的安全措施是修补和更新该软件,而做到这一点的最佳方法是使用可靠来源的提供强有力安全维护承诺的软件。

这让您和您的客户能够免受新发现的威胁所攻击。当发现漏洞时,您可以借专家之力在攻击者利用漏洞之前修复漏洞。

纵深防御

另一个重要方面是为您的软件平台保持纵深防御,以便在堆栈中某个特定组件易受攻击时,使攻击者无法获得可乘之机并进一步传播他们的恶行。这可以通过强化系统、锁定配置选项和删除可能帮助到恶意行为者的非必要组件来实现。

总结

无论采用的是何种开发方法,所有软件系统都有漏洞和弱点,而且大多数云平台每天都依赖于开源安全。保持系统安全的最大举措是使用积极维护和更新的软件。下一步则是通过强化系统和防止小的弱点恶化,来提升安全性防护。

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

边缘 AI:结合开源的目的、理由和方式

边缘 AI 正在改变设备与数据中心交互的方式,使组织在跟上最新创新的速度方面面临挑战。从 AI 驱动的医疗器械到自动驾驶汽车,大量的用例都受益于边缘设备上的人工智能。本篇博客将深入探讨该话题,了解开始边缘 AI 项目时的关键考虑因素、边缘 AI 的主要益处、存在的挑战以及如何与开源技术融合。 什么是边缘 AI? 位于边缘的 AI 即边缘 AI,是指人工智能与边缘计算相结合。其目标是在连接的边缘设备上执行机器学习模型。它能够使设备做出更明智的决策,无需总是连接到云来处理数据。其之所以被称为边缘,是因为机器学习模型在用户附近运行,而非数据中心。 随着行业发现新的用例和机会来优化工作流程、实现业务流程自动化或解锁新的创新机遇,边缘 AI 越来越受欢迎。自动驾驶汽车、可穿戴设备、 […]

安全数据存储对于推动 AI 人工智能的关键性

没有数据就没有 AI 人工智能是近年来最激动人心的一场科技革命。Nvidia、Intel、AMD 和其他公司继续生产速度越来越快的 GPU,进而支持更大的模型和决策过程中更高的吞吐量。 除了当下对人工智能的大量宣传之外,还有一点仍被人们所忽略:AI 需要数据。 首先,存储系统需要对不断增长的数据集的高性能进行访问,但更重要的是,它们需要确保这些数据得到安全存储,以供当下以及未来之用。在典型的 AI 系统中,用到了多种不同类型的数据: 所有这些数据的收集、处理和输出都要耗费时间和计算能力,因此需要对数据进行保护。在某些情况下,诸如自动驾驶汽车的遥测数据之类的数据可能永远无法复制。即使在训练数据被用于创建模型之后,其价值也不会削减;模型如要实现改进,就需要使用一致的训练数据集 […]

Canonical 发布 Ubuntu Pro 设备版 – Ubuntu Pro for Devices

面向物联网部署的新订阅版本保障最先进开源堆栈的安全性及长期合规性  Ubuntu 发行商 Canonical 宣布推出 Ubuntu Pro 设备版 – Ubuntu Pro for Devices,此款综合性产品有助于简化物联网设备部署的安全性和合规性工作。Ubuntu Pro 设备版提供长达 10 年的 Ubuntu 安全维护,并且提供数千个开源包,如 Python、Docker、OpenJDK、OpenCV、MQTT、OpenSSL、Go 和机器人操作系统(ROS)。该订阅版还提供使用 Canonical 系统管理工具 Landscape 进行设备管理的功能,以及在延迟关键型用例中访问 Real-time Ubuntu 的功能。Ubuntu Pro 设备版可直接从 […]