表面上來看,開源軟件對于中小企業(SMB)似乎意義重大。因為開源軟件是免費的并且在網站上是可以自由使用的,可以幫助節省很大一部分預算。但重要的是,它理應要比現成的商業軟件要更安全。
但是開源軟件真的像它標榜的一樣安全嗎?
誠然,開源軟件的源代碼是開放的,全世界的開發者和軟件使用者都可以隨意地選擇使用修改這些源代碼。不過,像其對應的商業軟件一樣,開源軟件在安裝部署之前需要對其進行加固、修復和鎖定。
這里有五個要素可以幫助中小企業們保證其開源應用程序的安全。
軟件詳細目錄
如果你的公司還沒有建立軟件詳細目錄,那么好馬上去做一個。因為詳細目錄可以幫助你管理安裝在公司內部的所有軟件。即使在一個小公司里,軟件應用程序的數量(開源軟件或者其他)都可能不受控制。購買的商業軟件可以保留發票作為記錄保存,而開源軟件卻可以任意地從網站下載下來后而不留下任何痕跡。
不僅應該保存記有開源軟件下載日期和時間的日志,并且在開源軟件被安裝之前還應該檢查其完整性。開源軟件配備了MD5 hashes或者GNU Privacy Guard簽名,可以通過他們來核實所下載的軟件是否完整完全。如果軟件沒有通過完整性檢查,需要重新下載,同時這些也應該記錄在日志中。
補丁管理
對開源軟件的補丁管理可能會很棘手,但是也很關鍵。發布周期和更新時間表往往不是同步的,這使補丁規劃很難進行,但是可以通過另外的途徑進行補丁管理。
對于擁有小型開源軟件基礎的中小企業來說,手工打補丁可能是便宜的選擇了(如果不是選擇的話)。對于Apache和Jakarta等有補丁定期發布周期但是不能像Linux系統一樣自動更新的開源產品,你需要手動檢查和運行他們的技術補丁。
對于較小的中小企業,還有另外一種選擇,是定期查看開源網站并通過腳本自動安裝更新程序。大部分系統管理員都可以編寫腳本,并且可以把腳本設置成在空閑的時候有間隔地運行---或者深更半夜的時候。
但是隨著中小企業的不斷發展,手動更新和腳本逐漸變得不實用的時候,可以考慮使用補丁管理工具了。不幸的是,大部分補丁管理工具都是和 Windows更新相連的。不過市面上有一些產品可以對開源軟件進行更新,包括,PatchLink update和Shavlik Technologies LLC公司的NetChk Protect。
網絡與防火墻的兼容性
開源軟件像所有軟件一樣,可能需要啟用特定的TCP端口接入因特網。但是在為開源軟件開啟端口的時候一定要確保沒有開啟你的網絡中的其他安全端口。
另外,開源軟件與你現有的網絡安全體系之間的兼容性也很重要。如果采用某個開源應用程序或者軟件需要對你的網絡體系作徹底改變,并且還可能危及網絡的安全時,你也許需要重新考慮該軟件是否適合你的公司并尋找其替代品。
訪問管理
在安裝任何開源軟件的時候,你應該立即改變所有默認安全設置來阻止黑客的侵入,他們經常能記錄普通用戶的ID和密碼。
同時,如果可能的話,更新開源軟件配備的內置訪問管理系統。例如,Apache使用的是基本身份驗證(basic authentication)和“摘要”式認證(digest authentication)---這些可以很輕易地被黑客攻破,以及使用了一個名為“htaccess”的文件提供密碼保護來限制對某些網站目錄的訪問。好不要單純的依賴這些,還應該很多更好的辦法來限制訪問,例如使用Apache的配置文件和安全模塊或者使用操作系統鎖定服務器本身。
測試和掃描
Fortify軟件公司和Ounce Labs公司的工具可以掃描軟件的漏洞,另外,SPI Dynamics公司的WebInspect和Watchfire公司的AppScan可以檢查出使用Apache或者其他開源軟件網站服務器的網站中的漏洞。
總言之,開源的確比對應的商業軟件要更安全,但是在對開源軟件進行安裝、配置和修復時,需要采取一定的措施保證這些過程的安全。資金和資源都非常有限的中小企業應該要比那些較大的公司更適合采用開源軟件,他們可以并且也應該這樣做。
