谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

开源软件和专有软件一样安全吗?

by Canonical on 3 October 2023

数据泄露和公司遭到入侵的新闻时常发生在我们身边,勒索软件造成的生存威胁几乎笼罩着每一个使用计算机的企业组织。

这种局面带来的后果之一是,我们被越来越多的软件更新所困扰,从手机和电脑到吸尘器和汽车;需要下载这个,重启那个,安装更新。大多数这些设备和工具都运行开源组件——在 2022 年开源安全和风险分析报告中,Synopsys 发现,在 17 个垂直行业中,93% 的代码库都包含开源软件。

我们所看到的安全问题是否与使用开源软件有关?专有软件是否具有更高的固有安全性或更多的安全性优势?

简单的回答就是否。人们发现安全漏洞越来越多,原因仅仅是世界上生产的软件前所未有地多,而且软件功能正逐渐融入我们生活的更多方面。

事实上,开源软件一直处于这种技术变革的前沿,它让世界上的任何人都有途径和机会开发出不能免费访问这些资源就无法实现的功能和产品。

晦涩难懂不代表安全

编程器通常为两种受众编写源代码。首先,是为将要执行代码的计算机编写源代码。其次,是为其他编程器编写源代码,用于以后更新、调整和维护代码。正是这第二个方面赋予了开源软件广泛的吸引力:每个人都能看到代码,理解代码,并在知道自己理解代码的情况下安全地使用代码。

但对于计算机来说,代码被编译成 CPU 可以直接处理和执行的机器可读形式。这种机器语言对于人类而言很难理解:尽管可以看到程序在做什么,但要理解机器语言既非常困难,也非常耗时,这就导致人们普遍认为这使得它更加安全。

然而,晦涩难懂并不代表安全,而且有很多干劲十足的人喜欢挑战对编译程序进行反汇编,以研究其内部工作原理。

这一话题在 Ubuntu 播客第 185 期有深入讨论。

如何安全地使用开源软件?

开源软件确有漏洞,这和专有软件或闭源软件一样。两种模式下的软件供应商均有义务掌握漏洞报告,发布补丁和修复,并保证用户的安全。但是,您也可以应用一些最佳范例来降低风险。

Synopsys 在其 2022 年的分析中发现,85% 的代码库包含过期四年以上的开源代码。无论代码是开源还是专有的,最关键的安全措施是修补和更新该软件,而做到这一点的最佳方法是使用可靠来源的提供强有力安全维护承诺的软件。

这让您和您的客户能够免受新发现的威胁所攻击。当发现漏洞时,您可以借专家之力在攻击者利用漏洞之前修复漏洞。

纵深防御

另一个重要方面是为您的软件平台保持纵深防御,以便在堆栈中某个特定组件易受攻击时,使攻击者无法获得可乘之机并进一步传播他们的恶行。这可以通过强化系统、锁定配置选项和删除可能帮助到恶意行为者的非必要组件来实现。

总结

无论采用的是何种开发方法,所有软件系统都有漏洞和弱点,而且大多数云平台每天都依赖于开源安全。保持系统安全的最大举措是使用积极维护和更新的软件。下一步则是通过强化系统和防止小的弱点恶化,来提升安全性防护。

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

Ubuntu 20.04 LTS 标准支持周期终止 — 激活 ESM

ESM 确保设备集群的安全与运行性能 Focal Fossa 的标准支持周期将于 2025 年 5 月终止,也称生命周期终止(EOL)。Ubuntu 20.04 LTS 已然成为全球数百万物联网和嵌入式设备的关键组件,广泛应用于自助服务终端、数字引导牌、工业设备以及机器人系统等设备。该版本是医疗保健到制造业等各行业的企业进行创新的基础。与其他所有迎来标准支持周期终止的 Ubuntu LTS 版本一样,Focal Fossa 将转为扩展安全维护(EOL)模式。本文将为开发者和企业介绍相关选择,并说明如何启用 ESM 以持续获得支持。 在深入探讨之前,我们先来回顾一下 Ubuntu 版本为何存在生命周期终止(EOL)。 Ubuntu 版本为何存在 EOL? 每个 Ubuntu […]

工业网络安全:迈向 IEC 62443 合规之路

随着制造商们努力进行 IT 与 OT 融合以提升自身效率和生产力,工业网络安全已成为每一位首席信息安全官(CISO)的关注焦点。然而,随着连接性的增强,风险也随之增加。保障设备、网络及系统的安全便成为了一项关键的挑战。作为 Ubuntu 发行商的 Canonical 深知这一需求,并致力于依照工业自动化与控制系统网络安全综合框架 IEC 62443 标准提升自身的能力。 本篇文章中将简要概述 IEC 62443 标准的适用范围,并阐述它与 Canonical 同样积极响应的其他标准之间的联系。文中将重点介绍,Canonical 在汽车标准方面投入的大量工作以及其对行业倡议所做出的贡献,由于在功能安全、设备稳固和安全生命周期管理等方面遵循相同的原则,如何与 IEC 6244 […]

什么是「应用安全」 — Application Security “AppSec” ?

网络安全领域已然迎来重大变革。如今,网络攻击、恶意软件和勒索软件等风险日益蔓延,加之新出台的网络安全法规以及针对数据泄露和数据外泄的高额罚款所带来的压力与日俱增,强化应用安全(AppSec)已毫无妥协可言。 在本文中,我们将探讨如何直面这些挑战,通过聚焦安全态势中最基本的要素,确保业务和系统安全。笔者将介绍应用安全(AppSec)的概念及其益处,探讨企业应如何设计和实现应用安全,并分享我们团队的一些实用建议和最佳实践,帮助您筑牢安全防线。 什么是 AppSec ? 应用安全(简称 AppSec)是一个广义概念,涵盖了企业组织为保护其应用程序在整个生命周期内免遭各种安全漏洞而采用的所有工具、举措与流程。应用安全的目标只有一个,就是找出应用程序和系统中可能会被恶意攻击者利用, […]