软件安全缺陷问题使开放源代码处境尴尬 | ||
---|---|---|
http://www.sina.com.cn 2003年03月18日 08:54 eNet硅谷动力 | ||
高山流水编译 【eNews消息】最近被发现的SendMail和Snort中的安全缺陷,使开发和安装开放源代码软件补丁软件的问题成为了业界人士关注的焦点。 专家表示,企业用户至少应当清楚,开放源代码软件的补丁软件开发得很快,但它可 互联网安全系统公司X-Force研发部门的负责人英格瓦逊表示,开放源代码软件是一把双刃剑。尽管是开放的,但却无法找到一个使用它的企业清单。这就可能使开发人员和没有加入邮件列表的用户之间不能及时沟通信息。 SendMail公司上周就遇到了这一问题。在这一事件中,在得知该缺陷后,编程人员埃里克通知了惠普、IBM、Sun等它所知道的在使用和销售开放源代码软件的公司,这些厂商很快为其客户开发出了相应的补丁软件。他指出,在开放源代码软件领域,厂商无法知道哪些用户在使用它的软件,因此我们最好的选择是在合适的地方公布有关安全缺陷的信息。 在专有代码软件领域,由于存在客户清单,因此能够将问题迅速的通知所有客户,但对专有代码厂商的批评是,它们常常反应不及时或直到黑客发布能够利用缺陷的代码时才会发布补丁软件。埃里克说,在商业软件领域,SendMail公司和每家客户之间都存在直接的联系方式。 SourceFire公司的技术总监马汀也遇到了相似的尴尬。他表示,在开放源代码软件领域,厂商很难知道谁在何地使用自己的软件。他说,这使他想起了去年的SNMP缺陷问题,当时人们就很难发现哪些系统使用了这一软件,容易受到攻击。 从传统上来看,开放源代码社区对问题通常能够作出迅速的反应。开放源代码的SendMail就是一个很好的例子,在它最近的缺陷事件中,在2发现问题后的24小时内,就有开发人员发布了补丁软件,而由于要在各种平台上进行测试,商业版则等了一周才发布补丁软件。但是否是使用开放源代码版SendMail或整合有它的产品的所有用户都知道这一问题呢?在这起事件中,考虑到SendMail处理了互联网上75%的电子邮件,其答案似乎是肯定的。但一些不太知名的软件呢?马汀表示,目前,用户使用的开放源代码软件非常多,及时通知用户是个大难题。 专家指出,开放源代码软件用户必须跟踪所使用软件的组织的开发活动,或使用负现任的厂商提供的开放源代码软件。IBM公司Linux技术中心的主管弗莱伊说,这也是为什么大多数商业用户选择由知名厂商提供开放源代码软件的原因所在,也是大多数企业不开发自己的Linux版本或修改开放源代码软件的原因。 改变源代码的二进制文件、对它进行重新编译的公司能够改变文件的签名,给安装补丁软件带来困难。一旦源代码被修改或扩充了,该软件就成了一个独立的软件,需要其开发者进行不断的维护。专家称,这一问题非常关健,因为安装补丁软件已经越来越成为一个要求自动化工具和严格的公司政策的过程。在SendMail缺陷事件中,补丁软件更新3个文件,但是如果这些文件中有一个已经被修改过,补丁软件就不能正常的运行。 企业在安装补丁软件方面遇到的问题是,它经常不安装已经发布的补丁软件。在最近的Slammer蠕虫病毒攻击中,这一问题非常突出。 RTFM咨询公司去年发布的报告显示,开放源代码世界一点儿也不比商业软件世界更好玩儿。在过去二年已经全面转向开放源代码软件的Weather.com公司负责技术的副总裁丹表示,这主要与用户修正缺陷的程序有关,如果采取合理的补丁软件并安装它们的措施,在开放源代码和商业软件二种环境中,用户都能够获得成功。
订新闻冲浪 互动点播 赢彩屏手机MP3播放机! |