Redian新闻
>
当今世界的开源安全问题 | Linux 中国

当今世界的开源安全问题 | Linux 中国

科技
 
导读:可能是当今大多数公司最可行的选择,但它也伴随着自己的问题。                           
本文字数:1251,阅读时长大约:2分钟

开源代码可能是当今大多数公司最可行的选择,但它也伴随着自己的问题。

许多人支持使用 开源软件(open source software)(OSS)。毕竟,我们为什么要不断地尝试构建代码来解决别人已经解决过的问题?为什么不分享信息并逐步和迭代地增强当前的开源解决方案呢?这些平等主义价值观(egalitarian values),可能是整个文明的根本,更不用说软件了,但还是包含了几千年来一直存在的冲突。

开源软件安全的问题在于,尽管任何人都可以查看源代码,但这并不意味着他们会这么做。有一些广泛使用的开源项目仅由数量有限的工程师维护。这些工程师无法完全自愿地提供时间和精力,因为他们也需要支付他们的账单。

即使对于更复杂的开源项目,这也是一个问题。举个例子,Linux 内核项目由 3000 多万行代码组成,包含数百个需要解决的缺陷,并有近 2000 名活跃的开发者。每个活跃的开发者都写了超过 15000 行的代码。

根据 Linux 基金会最近的一项研究,一个应用程序平均有 5.1 个重大漏洞仍未解决,41% 的企业对其开源软件的安全性缺乏信心。而更糟糕的是,只有 49% 的企业拥有开源安全策略。

即使开源软件有安全漏洞,这也不能保证它能被修复。调查显示,目前修复一个漏洞平均需要 97.8 天,使使用该软件的企业在几个月内容易受到攻击。这就是开源软件安全有时被忽视的地方:就像好人可以寻找代码中的错误和漏洞来修复它们一样,坏人也可以寻找同样的漏洞来利用它们。

仅仅依靠志愿者社区来发现漏洞、报告漏洞和修复漏洞是一个漫长的过程。在你继续受益于开源的广泛优势的同时,花钱请人检查你的开源解决方案的安全性可以帮助弥补这个问题。

由于必须部署开源软件的更新和补丁以保证系统的安全,这一要求会带来独特的困难。如果你的解决方案依赖于某个软件版本,更新你的关键任务软件可能会导致功能损失和/或计划外的停机。当情况对业务至关重要时,聘请专家来回传补丁并维护一个时间更长的版本可能比让大型社区愿意去做更加优雅。

开源社区经常使用的一句话是:“这是开源的,去改变它吧!”它强调了一个关键点:当别人在项目中投入时间、精力或金钱的时候,期望白白得到良好的安全水平是不合理的,也是不可持续的。

要么按原定计划为开源做出贡献,改进代码并为他人发布,要么聘请专业人士管理开源代码并在必要时进行调试,这些都是选择。然而,这个行业无法承担完全不做贡献。


via: https://www.opensourceforu.com/2022/10/security-issues-with-open-source-in-todays-world/

作者:Laveesh Kocher 选题:lkxed 译者:KevinZonda 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出


LCTT 译者 :KevinZønda
🌟🌟
翻译: 4.0 篇
|
贡献: 6 天
2022-10-03
2022-10-09
https://linux.cn/lctt/KevinZonda
欢迎遵照 CC-BY-SA 协议规定转载,
如需转载,请在文章下留言 “转载:公众号名称”,
我们将为您添加白名单,授权“转载文章时可以修改”。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Tuxedo 已对所有用户开放基于 Ubuntu 的 TUXEDO OS | Linux 中国Rosalía 登意大利版《VOGUE》封面!3 个可在 Linux 上玩旧 NES 游戏的 NES 模拟器 | Linux 中国在 Linux 上截屏的 3 种方法 | Linux 中国在 Manjaro 和其他基于 Arch Linux 的发行版上安装 Spotify | Linux 中国如何使用 Linux sed 命令自动进行文件编辑 | Linux 中国图解如何升级到 Linux Mint 21 | Linux 中国桌面 Linux 市场份额(2022 年 7 月) | Linux 中国如何在 Linux 中实时监控日志文件(桌面和服务器) | Linux 中国Linux 的版本号和 520 | Linux 中国一个值得关注的开源软件 Penpot 将成为 Figma 可靠的替代品! | Linux 中国粮食安全、能源安全、经济形势……一文了解二十大首场记者招待会一个人的徒步,900公里法国之路+世界尽头:D28~丢鞋 & 问路一个全新的用于英伟达显卡的开源 Vulkan 驱动已经准备好测试了! | Linux 中国我以前写过一个美国社保的文章,这会儿把它找出来。。5 款适用于 Linux 的笔记应用 | Linux 中国微软决定放弃 Teams 的 Linux 应用,而用渐进式网页应用取代 | Linux 中国【广发策略】资源安全篇:关键原料的稀缺性全盘点—“国家安全”系列(三)7 个基于 Fedora Linux 的最佳发行版 | Linux 中国Kali Linux 2022.3 发布 | Linux 中国24 年的开源项目内部爆发严重分歧:部分成员嫌弃不够自由,不愿接受 Linux 基金会赞助“作弊”:只需要知道这一个 Linux 命令就够了 | Linux 中国开源朗读者:使用 Linux 的优势和劣势 | Linux 中国Midori 浏览器将整合自己的开源搜索引擎强势归来 | Linux 中国比尼亚加拉还高的加拿大瀑布Sunamu:在 Linux 桌面上显示当前播放音乐的歌词 | Linux 中国贡卡尔·嘉措关于 Linux 和 Git 的创造者 Linus Torvalds 的 20 件趣事 | Linux 中国Linux 优先的 AI 图像提升器 Upscayl 发布了第一个版本 | Linux 中国Blackbox:极简主义 Linux 用户的美观终端 | Linux 中国Lapce:一个开发中的快速、轻量级的开源代码编辑器 | Linux 中国如何在 Linux 中更改 GRUB 主题 | Linux 中国当今世界高度不确定,党中央是中国人民心中最大的确定性谁是当今世界最伟大的物理学家?杨振宁先生100岁生日快乐!斜风细雨中的紫薇
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。