文档章节

开源软件的崛起会改善软件安全吗

 爱尚论坛
发布于 2015/02/03 09:38
字数 689
阅读 4
收藏 0

  2014年4月,OpenSSL Heartbleed漏洞的发现在互联网上引起了轩然大波,其影响范围之大甚至超过了上一年的Struts框架远程执行漏洞。紧接着,在6月份,Bash又曝出了 ShellShock漏洞。该漏洞自1989年以来就潜伏在开源Bash项目中。可以说,在软件安全方面,2014年是非常糟糕的一年。Jim Zemlin是Linux基金会的执行董事。近日,他就软件安全及开源的相关问题接受了InfoWorld总编Eric Knorr的采访。

  针对OpenSSL出现的安全漏洞,Zemlin承认,“经过社区审查的开源代码比闭源代码更安全”这个命题已经不成立了。OpenSSL项目一个很大的问题是只有两名独立顾问Dr. Stephen Henson和Steve Marquess维护。虽然有许多人会看到这些代码,但实际上没有多少人有那么多精力去审查代码,更不用说还需要具备极深的专业知识。因此,在 Heartbleed漏洞曝出后,Zemlin迅速组织成立了“核心基础设施联盟(Core Infrastructure Initiative)”,并邀请了Amazon Web Services、Adobe、Cisco、Facebook、Google等数十家行业巨头加入。他们承诺每年提供10万美元的资金支持,至少持续三年。借助这笔资金,Zemlin为OpenSSL项目雇佣了两位全职工作人员,并且启动了Open Crypto Audit项目,对OpenSSL代码库进行安全审查。

  与OpenSSL相关的组织因为Heartbleed这一灾难性漏洞联合了起来。与此不同的是,在过去几年中,一些影响力很大的开源项目在早期阶段就得到了行业巨头的支持,如Docker、Kubernetes。另外一些项目本身就是联合创立的,如OpenStack、 OpenDaylight。Zemlin认为,在这种情况下,武汉仁济中西医结合医院项目就不会因为资源匮乏而失去活力。不过,这也并不能保证产生完全安全的代码。因为让开发人员严肃对待安全问题一直就很困难,而这不仅仅是因为缺少兴趣,还因为严格的安全保护与可用性之间存在矛盾。

  另外,Knorr提到,CoreOS推出Rocket向Docker发起挑战。他认为,CoreOS紧追Docker在安全方面做工作有望形成良性循环。包括微软在内的每一个行业巨头都已经看到了开源软件高速创新所带来的好处。他们的加入以及对基础开源技术开发的支持将有助于在总体上改善软件安全。http://h.foyuan.net/blog-266277-329494.html

© 著作权归作者所有

粉丝 0
博文 22
码字总数 18644
作品 0
武汉
私信 提问
译文 大数据和云软件是如何提升道路安全的

        本文为36大数据独译,译者Z-A   道路车辆在人员和物资运输方面发挥着重要作用。但是,他们每年要为一百二十四万人的死亡负责。除此之外,许多城市交通拥堵明显,这不但令人讨...

36大数据
2017/09/08
0
0
经济危机为部署开源安全解决方案带来曙光

纵观即将结束的2009年第一季度,从2008年的经济崩溃中立即反弹是不太可能的这一现象越来越明显。我们不但要处理由于在2008年中由政 府和企业决策者做出的灾难性决策导致的后果,并且还看到同...

红薯
2009/05/05
92
0
新思科技发布 OSSRA 报告,分析开源应用趋势和模式

很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。虽然...

oschina
05/28
827
0
研究报告:开源软件正吞食企业软件市场

有78%的公司都在运行开源软件,然而许多公司缺乏正式的政策来管理法律、操作和安全等方面的风险。 2015年调查的结果反映了企业正在越来越多的采用开源软件并且突出了参与开源社区组织的丰富度...

oschina
2015/12/28
4.7K
23
请注意代码的来源:开源多少算是太多?

  【IT168 资讯】【IT168 资讯】开源能够引起很多安全漏洞,开源多少算是太多? DevOps可以救我们吗?   你知道你的代码从哪儿来的么?   从安全方面来说,这是一个比开发人员意识到的更重...

it168网站
2017/10/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

领域驱动中的“贫血症和失忆症” --实践领域驱动--原文

贫血症严重危害着人类健康,并且伴随有危险的副作用。当贫血领域对象被首次提出来时,它并不是一个博得赞美的词汇,它描述的是一个缺少内在行为领域对象。奇怪的是,人们对于贫血领域对象的态...

还仙
30分钟前
5
0
条码打印软件中标签预览正常打印无反应怎么解决

在使用条码打印软件制作标签时,有客户反馈,标签打印预览正常的,但是打印无反应,咨询是怎么回事?今天针对这个情况,可以参考以下方法进行解决。 一、预览正常情况下,打印没反应 (1)在条码...

中琅软件
39分钟前
5
0
判断字符串的时候

判断字符串的时候一定把常量房前边, //报警程度 String leve = vo.getDeviceAlertDeal().getWarnLevel(); if(("0").equals(leve)) { row.add("无报警"); }else if(("1").equals(leve)) { ro......

简小姐
40分钟前
7
0
Linux maven3.6.2 install

PS:安装 maven 之前请先安装 jdk 1.安装 wget 命令(安装过就不用了) yum -y install wget 2.寻找需要的 maven 版本 https://maven.apache.org/download.cgi 3.进入 /var/local 文件夹 cd...

东方神祇
42分钟前
5
0
Tomcat源码分析二:先看看Tomcat的整体架构

Tomcat源码分析二:先看看Tomcat的整体架构 Tomcat架构图 我们先来看一张比较经典的Tomcat架构图: 从这张图中,我们可以看出Tomcat中含有Server、Service、Connector、Container等组件,接下...

flygrk
45分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部