开源软件和专有软件一样安全吗?
by Canonical on 3 October 2023
数据泄露和公司遭到入侵的新闻时常发生在我们身边,勒索软件造成的生存威胁几乎笼罩着每一个使用计算机的企业组织。
这种局面带来的后果之一是,我们被越来越多的软件更新所困扰,从手机和电脑到吸尘器和汽车;需要下载这个,重启那个,安装更新。大多数这些设备和工具都运行开源组件——在 2022 年开源安全和风险分析报告中,Synopsys 发现,在 17 个垂直行业中,93% 的代码库都包含开源软件。
我们所看到的安全问题是否与使用开源软件有关?专有软件是否具有更高的固有安全性或更多的安全性优势?
简单的回答就是否。人们发现安全漏洞越来越多,原因仅仅是世界上生产的软件前所未有地多,而且软件功能正逐渐融入我们生活的更多方面。
事实上,开源软件一直处于这种技术变革的前沿,它让世界上的任何人都有途径和机会开发出不能免费访问这些资源就无法实现的功能和产品。
晦涩难懂不代表安全
编程器通常为两种受众编写源代码。首先,是为将要执行代码的计算机编写源代码。其次,是为其他编程器编写源代码,用于以后更新、调整和维护代码。正是这第二个方面赋予了开源软件广泛的吸引力:每个人都能看到代码,理解代码,并在知道自己理解代码的情况下安全地使用代码。
但对于计算机来说,代码被编译成 CPU 可以直接处理和执行的机器可读形式。这种机器语言对于人类而言很难理解:尽管可以看到程序在做什么,但要理解机器语言既非常困难,也非常耗时,这就导致人们普遍认为这使得它更加安全。
然而,晦涩难懂并不代表安全,而且有很多干劲十足的人喜欢挑战对编译程序进行反汇编,以研究其内部工作原理。
这一话题在 Ubuntu 播客第 185 期有深入讨论。
如何安全地使用开源软件?
开源软件确有漏洞,这和专有软件或闭源软件一样。两种模式下的软件供应商均有义务掌握漏洞报告,发布补丁和修复,并保证用户的安全。但是,您也可以应用一些最佳范例来降低风险。
Synopsys 在其 2022 年的分析中发现,85% 的代码库包含过期四年以上的开源代码。无论代码是开源还是专有的,最关键的安全措施是修补和更新该软件,而做到这一点的最佳方法是使用可靠来源的提供强有力安全维护承诺的软件。
这让您和您的客户能够免受新发现的威胁所攻击。当发现漏洞时,您可以借专家之力在攻击者利用漏洞之前修复漏洞。
纵深防御
另一个重要方面是为您的软件平台保持纵深防御,以便在堆栈中某个特定组件易受攻击时,使攻击者无法获得可乘之机并进一步传播他们的恶行。这可以通过强化系统、锁定配置选项和删除可能帮助到恶意行为者的非必要组件来实现。
总结
无论采用的是何种开发方法,所有软件系统都有漏洞和弱点,而且大多数云平台每天都依赖于开源安全。保持系统安全的最大举措是使用积极维护和更新的软件。下一步则是通过强化系统和防止小的弱点恶化,来提升安全性防护。
订阅博客文章
查看更多内容
Canonical x Lenovo: 在边缘运行 AI workloads
携手 Canonical 和 Lenovo,在边缘运行 AI 工作负载 从制造业中的预测性维护,到医疗保健行业中的虚拟助手,再到最偏远地区的电信路由器优化,AI 正在各种边缘环境中掀起新浪潮,带来新机遇。但为了支持这些几乎随处运行的 AI 工作负载,公司需要具备快速、安全且高度可扩展的边缘基础架构。 开源工具 —— 例如用于轻量级 Kubernetes 编排的 MicroK8s 和用于 ML 机器学习工作流的 Charmed Kubeflow —— 可以为边缘 AI 部署提供更高的灵活性和安全性。如果配合加速计算堆栈使用,这些解决方案可以帮助专业人员更快地交付项目,降低运营成本,以及确保更可预测的结果。 今天这篇博客探讨为什么企业正逐渐在边缘 AI 领域转向开放式基础架构 […]
《网络弹性法案》对开源意味着什么
《网络弹性法案》(Cyber Resilience Act,CRA)即将生效。这项影响广泛的法规将引入针对开发商、零售商和设备制造商的新要求和制衡措施;而许多亟待满足的需求在开源社区并没有得到很好的解决。 在本篇博客中,笔者将探讨 CRA 对开源的影响,分享一些专家的见解,说明该法案在哪些方面有着积极的影响以及在哪些方面存在灰色地带,并向大家介绍在使用或创建开源的情况下应该为法案的推行做好哪些准备。 为何制定《网络弹性法案》? 首先大致介绍一下,CRA 是欧盟即将出台的一项法规,旨在通过对欧盟 IT 行业实施更严格的网络安全、文档和漏洞报告要求,提高设备安全性。这项法规将适用于硬件、设备、软件、应用程序和其他“带有数字连接元素的产品”的开发商、分销商、制造商和零售商。 […]
Raspberry Pi AI 套件在 Ubuntu 上的黑客指南
Raspberry Pi 最近发布了他们的 AI 套件,一个搭载 Hailo-8L AI 加速器的 PCIe M.2 HAT 套件。这款 AI 加速器的运算性能高达每秒 13 万亿次运算(TOPS)。相较之下,Coral Edge TPU 的运算性能为 4 TOPS,其拥有与 Raspberry Pi 5 CPU 相近的推理性能。AI 套件可以让标准平台上开发机器学习工作负载变得更加容易。它还允许在边缘部署强大的机器学习模型,而且成本低、功耗低。许多人对这款新工具包在其中可以发挥卓越性能的大量用例满怀期待,比如安全、制造或质量保证方面的摄像头视频对象实时检测。 在本篇博客中,我们将讨论我们尝试在 Ubuntu 24.04 LTS 上运行 Hailo-8L 加速器及其软件的 […]