谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

开源软件和专有软件一样安全吗?

by Canonical on 3 October 2023

数据泄露和公司遭到入侵的新闻时常发生在我们身边,勒索软件造成的生存威胁几乎笼罩着每一个使用计算机的企业组织。

这种局面带来的后果之一是,我们被越来越多的软件更新所困扰,从手机和电脑到吸尘器和汽车;需要下载这个,重启那个,安装更新。大多数这些设备和工具都运行开源组件——在 2022 年开源安全和风险分析报告中,Synopsys 发现,在 17 个垂直行业中,93% 的代码库都包含开源软件。

我们所看到的安全问题是否与使用开源软件有关?专有软件是否具有更高的固有安全性或更多的安全性优势?

简单的回答就是否。人们发现安全漏洞越来越多,原因仅仅是世界上生产的软件前所未有地多,而且软件功能正逐渐融入我们生活的更多方面。

事实上,开源软件一直处于这种技术变革的前沿,它让世界上的任何人都有途径和机会开发出不能免费访问这些资源就无法实现的功能和产品。

晦涩难懂不代表安全

编程器通常为两种受众编写源代码。首先,是为将要执行代码的计算机编写源代码。其次,是为其他编程器编写源代码,用于以后更新、调整和维护代码。正是这第二个方面赋予了开源软件广泛的吸引力:每个人都能看到代码,理解代码,并在知道自己理解代码的情况下安全地使用代码。

但对于计算机来说,代码被编译成 CPU 可以直接处理和执行的机器可读形式。这种机器语言对于人类而言很难理解:尽管可以看到程序在做什么,但要理解机器语言既非常困难,也非常耗时,这就导致人们普遍认为这使得它更加安全。

然而,晦涩难懂并不代表安全,而且有很多干劲十足的人喜欢挑战对编译程序进行反汇编,以研究其内部工作原理。

这一话题在 Ubuntu 播客第 185 期有深入讨论。

如何安全地使用开源软件?

开源软件确有漏洞,这和专有软件或闭源软件一样。两种模式下的软件供应商均有义务掌握漏洞报告,发布补丁和修复,并保证用户的安全。但是,您也可以应用一些最佳范例来降低风险。

Synopsys 在其 2022 年的分析中发现,85% 的代码库包含过期四年以上的开源代码。无论代码是开源还是专有的,最关键的安全措施是修补和更新该软件,而做到这一点的最佳方法是使用可靠来源的提供强有力安全维护承诺的软件。

这让您和您的客户能够免受新发现的威胁所攻击。当发现漏洞时,您可以借专家之力在攻击者利用漏洞之前修复漏洞。

纵深防御

另一个重要方面是为您的软件平台保持纵深防御,以便在堆栈中某个特定组件易受攻击时,使攻击者无法获得可乘之机并进一步传播他们的恶行。这可以通过强化系统、锁定配置选项和删除可能帮助到恶意行为者的非必要组件来实现。

总结

无论采用的是何种开发方法,所有软件系统都有漏洞和弱点,而且大多数云平台每天都依赖于开源安全。保持系统安全的最大举措是使用积极维护和更新的软件。下一步则是通过强化系统和防止小的弱点恶化,来提升安全性防护。

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

使用 Ubuntu Pro 和机密虚拟机加强云网络安全

在当今的数字环境下,各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加,使安全成为了人们最关心的问题。本文中,我们将深入到激动人心的云网络安全世界,并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。 为什么操作系统的选择对云网络安全很重要? 首先,我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全,但他们所提供的安全保证也只是拼图中的一小片。 一旦您的应用程序在生产平台上投入运行,威胁仍有可能来自特权系统软件,包括操作系统、虚拟机管理器和平台的固件。 通过设计,该软件可以访问您应用程序的所有资源,如果应用程序变成恶意的或受到损害,可能会泄露应用程序的所有敏感数据。因此,认识到操作系统的安全性是应用程 […]

Canonical 为 NVIDIA Jetson Orin 提供 Ubuntu 和 ROS,从而提高机器人和人工智能开发的稳定性

软件与硬件的结合对于推动机器人和人工智能(AI)的进步至关重要。Canonical 正在与 NVIDIA 展开合作,共同推动这一协同作用。此次合作承诺为 NVIDIA Jetson Orin 硬件用户提供 Ubuntu 的多功能性和稳定性。 在本文中,我们将深入探讨此次针对 NVIDIA Jetson Orin 系列的合作细节,以及近期宣布的Isaac ROS的可用性,以及为早期合作伙伴提供基于 NVIDIA Jetson Orin 系统的优化 Ubuntu 镜像。 NVIDIA Jetson Orin 上的 Ubuntu 和 ROS 优化后的 Ubuntu 内核与用户空间和 NVIDIA Jetson Orin 的推出标志着机器人和 AI 领域的重要里程碑。大约 10 […]

使用实时内核实现边缘云中延迟最小化

从电信应用到边缘云和工业数字孪生,在云技术中试验实时功能已成为行业趋势。边缘应用程序在与实时系统交互时通常有一个额外的要求:它们需要确切地运行。这意味着它们在系统内的执行和交互都有时间限制。 Canonical 推出的 MicroCloud 是一种小型云部署平台,托管可扩展和高可用性的应用程序,在更接近数据源的位置提供计算、安全网络和弹性存储等功能。它们特别适用于需要在所需地方附近提供工作负载的用例,例如边缘云部署。在 Ubuntu 实时内核功能的加持下,MicroCloud 是一个适用于具有严格低延迟要求的边缘应用程序的绝佳解决方案。 本篇文章将介绍如何在 MicroCloud 主机中启用实时内核。文中还将涵盖我们的实时测试,比较利用 Ubuntu 实时和通用内核的虚拟 […]