开源软件和专有软件一样安全吗?
by Canonical on 3 October 2023
数据泄露和公司遭到入侵的新闻时常发生在我们身边,勒索软件造成的生存威胁几乎笼罩着每一个使用计算机的企业组织。
这种局面带来的后果之一是,我们被越来越多的软件更新所困扰,从手机和电脑到吸尘器和汽车;需要下载这个,重启那个,安装更新。大多数这些设备和工具都运行开源组件——在 2022 年开源安全和风险分析报告中,Synopsys 发现,在 17 个垂直行业中,93% 的代码库都包含开源软件。
我们所看到的安全问题是否与使用开源软件有关?专有软件是否具有更高的固有安全性或更多的安全性优势?
简单的回答就是否。人们发现安全漏洞越来越多,原因仅仅是世界上生产的软件前所未有地多,而且软件功能正逐渐融入我们生活的更多方面。
事实上,开源软件一直处于这种技术变革的前沿,它让世界上的任何人都有途径和机会开发出不能免费访问这些资源就无法实现的功能和产品。
晦涩难懂不代表安全
编程器通常为两种受众编写源代码。首先,是为将要执行代码的计算机编写源代码。其次,是为其他编程器编写源代码,用于以后更新、调整和维护代码。正是这第二个方面赋予了开源软件广泛的吸引力:每个人都能看到代码,理解代码,并在知道自己理解代码的情况下安全地使用代码。
但对于计算机来说,代码被编译成 CPU 可以直接处理和执行的机器可读形式。这种机器语言对于人类而言很难理解:尽管可以看到程序在做什么,但要理解机器语言既非常困难,也非常耗时,这就导致人们普遍认为这使得它更加安全。
然而,晦涩难懂并不代表安全,而且有很多干劲十足的人喜欢挑战对编译程序进行反汇编,以研究其内部工作原理。
这一话题在 Ubuntu 播客第 185 期有深入讨论。
如何安全地使用开源软件?
开源软件确有漏洞,这和专有软件或闭源软件一样。两种模式下的软件供应商均有义务掌握漏洞报告,发布补丁和修复,并保证用户的安全。但是,您也可以应用一些最佳范例来降低风险。
Synopsys 在其 2022 年的分析中发现,85% 的代码库包含过期四年以上的开源代码。无论代码是开源还是专有的,最关键的安全措施是修补和更新该软件,而做到这一点的最佳方法是使用可靠来源的提供强有力安全维护承诺的软件。
这让您和您的客户能够免受新发现的威胁所攻击。当发现漏洞时,您可以借专家之力在攻击者利用漏洞之前修复漏洞。
纵深防御
另一个重要方面是为您的软件平台保持纵深防御,以便在堆栈中某个特定组件易受攻击时,使攻击者无法获得可乘之机并进一步传播他们的恶行。这可以通过强化系统、锁定配置选项和删除可能帮助到恶意行为者的非必要组件来实现。
总结
无论采用的是何种开发方法,所有软件系统都有漏洞和弱点,而且大多数云平台每天都依赖于开源安全。保持系统安全的最大举措是使用积极维护和更新的软件。下一步则是通过强化系统和防止小的弱点恶化,来提升安全性防护。
订阅博客文章
查看更多内容
Ubuntu 20.04 LTS 标准支持周期终止 — 激活 ESM
ESM 确保设备集群的安全与运行性能 Focal Fossa 的标准支持周期将于 2025 年 5 月终止,也称生命周期终止(EOL)。Ubuntu 20.04 LTS 已然成为全球数百万物联网和嵌入式设备的关键组件,广泛应用于自助服务终端、数字引导牌、工业设备以及机器人系统等设备。该版本是医疗保健到制造业等各行业的企业进行创新的基础。与其他所有迎来标准支持周期终止的 Ubuntu LTS 版本一样,Focal Fossa 将转为扩展安全维护(EOL)模式。本文将为开发者和企业介绍相关选择,并说明如何启用 ESM 以持续获得支持。 在深入探讨之前,我们先来回顾一下 Ubuntu 版本为何存在生命周期终止(EOL)。 Ubuntu 版本为何存在 EOL? 每个 Ubuntu […]
Ubuntu 20.04 LTS 标准支持即将结束:升级版本或是继续使用?方案总整理
2025 年,Ubuntu 20.04 LTS(Focal Fossa)将达到其标准五年的常规维护周期,是时候开始考虑升级选项了。 什么是 Ubuntu 长期支持(LTS)版本? Ubuntu 长期支持版本(Long term support,LTS)由 Canonical 每两年发布一次。Canonical 为 Ubuntu LTS 版本提供 5 年的补丁和维护,包括主库中的所有软件包。对于 2020 年发布的 Ubuntu 20.04 LTS,该支持将持续到 2025 年 5 月 31 日。此后,您有两个选项。 第一个选项是升级到最新的 LTS 版本 Ubuntu 24.04(Noble Numbat),对该版本的 LTS 支持将持续到 2029 年。 第二个选项 […]
最新 IDC 研究 — 70% 的 IT 团队每周在安全补丁方面耗费时间超 6 小时
Canonical 与国际数据公司(IDC)开展的最新研究表明,在严苛的 CVE 补丁更新规定下,企业组织难以笃定地应用补丁,并且在开源软件供应链方面也面临着其他严峻挑战。 今日,Ubuntu 发行商 Canonical 发布了一份与 IDC 合作完成并由 Google Cloud 联合赞助的研究报告,其揭示了有关企业组织在安全补丁和不断加重的监管负担方面所面临压力与挑战的全新见解。这份题为《软件供应链现状:安全挑战、机遇以及借助开源软件实现韧性的路径》的报告,对 500 家拥有 250 名以上全职员工的企业组织进行了调查,确定了他们所面临的最紧迫问题。最值得注意的是,这些问题都是企业组织在漏洞和补丁管理、软件依赖关系或软件供应链可视性不足以及软件来源可信度方面面临的难题 […]