<code id='8w6sa'><strong id='8w6sa'></strong></code>
  1. <i id='8w6sa'><div id='8w6sa'><ins id='8w6sa'></ins></div></i><dl id='8w6sa'></dl>

    <fieldset id='8w6sa'></fieldset>

    <ins id='8w6sa'></ins>
      <acronym id='8w6sa'><em id='8w6sa'></em><td id='8w6sa'><div id='8w6sa'></div></td></acronym><address id='8w6sa'><big id='8w6sa'><big id='8w6sa'></big><legend id='8w6sa'></legend></big></address>

      1. <span id='8w6sa'></span>
      2. <tr id='8w6sa'><strong id='8w6sa'></strong><small id='8w6sa'></small><button id='8w6sa'></button><li id='8w6sa'><noscript id='8w6sa'><big id='8w6sa'></big><dt id='8w6sa'></dt></noscript></li></tr><ol id='8w6sa'><table id='8w6sa'><blockquote id='8w6sa'><tbody id='8w6sa'></tbody></blockquote></table></ol><u id='8w6sa'></u><kbd id='8w6sa'><kbd id='8w6sa'></kbd></kbd>
        1. <i id='8w6sa'></i>
        2. 安全和知识产权问题仍困扰开源技术

          • 时间:
          • 浏览:4
          • 来源:124软件资讯网

            虽然开源软件在企业领域获得了一席之地  ,而且具备了与专有软件一争高下的实力  ,可是它似乎照旧无法挣脱宁静性和知识产权问题的困扰  。

              宁静性和知识产权问题是老生常谈了  ,自从开源手艺降生之日起就一直饱受它们的“折磨”  。“开源手艺的优势在于没有一个单一的实体能够拥有对于一个开源项目的绝对控制权  ,”着名市场研究架构Gartner的资深剖析师Mark Driver说  。“没有一个单一的瓶颈”  。其中一种理论以为 ,由于它是开源的  ,以是软件宁静性方面存在的问题可以被很快发现  。“但另有一种理论以为  ,开源手艺是不太宁静的 ,由于任何人都可以把恶意代码和软件放进它内里  ,这种说法也很有原理  ,” Driver说 。

              只管嫌疑的言论从来就没有制止过  ,不外开源运动依然如火如荼地举行着 。现在有数以万计的开源社区和开源软件开发职员到场开源运动  ,天天发生的代码量大得惊人  ,这样的一个直接效果就是发生了许多开源操作系统和应用法式  。开源手艺不仅顽强地生活了下来  ,而且要还正改变着传统商业软件的做法  。

              开源软件组件通过一些开发工具已经融入到了商业软件中  ,好比Eclipse 和NetBeans  。 Linux操作系统已经不仅仅是企业用户喜欢的一个选择了  ,华尔街的许多金融巨头也最先使用Linux了 。开源中心件应用 ,好比Geronimo、Jboss、MySQL和 Hibernate也在企业领域变得越来越受接待  。

              Gartner预计 ,到2013年  ,80%甚至更多的商业软件在开发历程中将会使用开源手艺  。

              在这种大趋势下 ,越来越多的企业和政府部门的IT治理职员想要实验一下开源手艺 ,这也是顺理成章的  。不外 ,他们在做出最终决议之前 ,他们需要对于每一个开源软件以及它所依附的公司举行仔细的评估  ,主要从该开源软件社区的成熟度、维护代码库的能力以及能够实时添加扩展或修正错误方面举行详细考察  。若是比力成熟的开源供应商好比IBM、红帽和惠普答应支持你所选择的开源软件和开源手艺方案 ,那么通常这就不会有什么问题  。

              “将开源手艺用户商业用途的最自信的用户往往在手艺上很是自信  ,由于他们自己在内部拥有一个自己的研发团队  ,能够胜任开源软件的修修补补  ,或者他们从开发商那里购置手艺支持 。”Driver说  。

              那么 ,开源软件更迫切的宁静和知识产权影响是什么呢  ?

              一个主要的问题是开源软件的宁静毛病是怎样发现和修补的  。与闭源和专有软件供应商相比  ,开源软件寻找毛病和修补毛病的方式大不相同  。

              软件业的巨人微软也曾经把自己关闭起来  ,当外界职员或企业发现微软产物毛病并提出建议时  ,微软通常体现得很是审慎而且很委曲  。不外  ,近几年微软逐渐向外界“敞开了心扉”  ,与宁静方面的专间建设了明确的联系 ,以便能够获得这些专家们发现的毛病等要害信息  ,并实时开发出有用的补丁  。

              在这方面 ,微软的最新起劲使得宁静领域的专家与巨人距离更近了  。一个月前  ,微软揭晓声明说 ,在微软的月度宁静忠告之前  ,微软会将有关微软产物的毛病信息发送选定的一些宁静厂商  ,这使得微软能够发在布公共通知之前  ,修复这些宁静毛病 。微软声称  ,它这样做的目的是为了阻止黑客使用毛病信息设计零时差(zero-day attacks)攻击  。

              相比之下  ,开源社区往往不能与外界的宁静手艺专家保持明确的联系  ,他们往往对外部宁静专家不是很信托  。无路怎样 ,许多开源社区保密的做法违反了开源手艺的本质精髓  。

              “与专有软件相比 ,开源软件的开发模式有很大的差别 ,” GNOME Foundation的执行总监Stormy Peters说 。GNOME Foundation主要研发用于种种Linux刊行版的桌面应用法式  ,包罗Novell和红帽 。“某一详细的开源项目通常不会给你提供宁静服务或一个联络人  ,但通常会给你一个邮件列表  。”

              该邮件列表通常是开放的  ,正如任何错误追踪系统一样 。“每当问题被修复息争决时  ,我们就会公布一个补丁法式或升级升序  ,” Peters在谈到GNOME时说  。“这些责任通常就落在那些有权检查代码改变的那些人身上了  。”

              开源人才都是 “精英”  ,Peters说  ,只管开源社区对于“自给自足”的方式感应很是恬静和满足  ,不外“若是你看起来足够可信的话  ,外界专家一定能找到一种方式与开源社区交流  。”

              咨询公司OpenLogic主要使命就是充当外界公司和开源社区之间交流的前言  ,卖力在手艺上检查400多个开源应用  。该公司高级照料 Peters敦促那些想要与开源社区交流的宁静专家起劲在开源社区中找到能交流的合适职员  ,从而配合关注可能泛起的缺陷并保持实时的交流  。

              有时 ,使用开源软件的企业在内部提供一个补丁法式  ,虽然他们可能不希望自己将这件事情宣布于众  。不外  ,补丁信息一样平常将会发给邮寄清单中的每个用户  ,Peters说  ,“每小我私家很快就会知道这个新闻的  。”

              一些宁静厂商已经发现  ,将一些新闻通报给开源社区要比通报给闭源供应商难题得多  。

              Fortify Software是全球最大的软件宁静厂商  ,最近该公司与宁静照料Larry Suto联手对11个基于Java的开源应用软件和法式包举行了一次毛病评估  ,而且对近三个月以来各个开源社区对于宁静性问题的回应举行了总结 。 Fortify Software发现这11个软件都有很显着的宁静毛病并希望能把这些信息反馈给开源社区  。

              在研究陈诉中  ,Fortify Software指出  ,开源码软件对于正在使用它的公司来说  ,可能会带来庞大的宁静风险 ,由于在许多情形下  ,开源社区没有遵守最最少的宁静最佳做法  。这一研究陈诉的目的之一就是要找出这11个开源软件的社区能够对于软件宁静性问题、毛病效果、公布的宁静指南和宁静的开发历程迅速做出回应  。

              在这11个开源软件或项目中 ,开源应用服务器的Tomcat的体现是最好的 。由于只有Tomcat使用了Fortify Software一直提倡的宁静最佳做法  。其中包罗一个用于陈诉宁静毛病的专门的电子邮件别名 ,一个与宁静专家交流的方式以及一个链接到宁静信息的醒目Web链接  。

              其余的10个开源应用、工具和数据库软件包--- Derby、Geronimo、Hibernate、Hipergate、Jboss、Jonas、OFBiz、OpenCMS、Resin、 Struts---效果很令人沮丧  ,甚至有些对于Fortify Software的观察不予回应 。在这10个开源软件中  ,应用服务器JBoss的得分最高  ,由于它在自己的官方网站上提供一个醒目的链接  。该链接能毗连到宁静信息上而且是快速与宁静专家相同的一种方式  。但不足之处就在于没有提供一个详细的电子邮箱别名  ,从而利便访客提交宁静毛病  。

              “你不想将错误陈诉给一个通用的邮件列表 ,由于这将会公然化 ,” Fortify Software宁静研究小组司理Jacob West说  。需要有一种提交织误陈诉的神秘要领  ,由于这样就能在民众被通知是公布这些错误的补丁包 ,因此恶意攻击者不能获得他们可以使用的早期资料 。

              可是  ,免费提供开源软件的社区往往对于宁静性做法的关注不如商业软件商做得好  ,后者会提供充实的手艺支持  ,West说