编写应用程序要注重其安全性
影响安全性存在着激烈辩论。由于受到大众所有可能的详细审查,所以 FLOSS 会更安全吗?或者,FLOSS 是否会更不安全,因为攻击者获得了更多的信息 - 这会使得进行对程序的攻击更容易吗?
这些问题开始有了答案,与象“FLOSS 总是比较安全的”这样的简单声明相比,这些答案更为细致且更复杂。确实有事实证明 FLOSS 能比具有专利权的软件安全。例如,据报告 FLOSS OpenBSD 操作系统的安全性漏洞比 Microsoft Windows 少得多。但是有一个合理的“反诉”:由于 Windows 用户比较多,所以对 Windows 的攻击就可能比较多,这意味着更有可能发现 Windows 的安全性漏洞。这就是比较的全部内容吗?很值得怀疑,不过这也显示出作同等对比是多么困难。
一个更佳的示例是 Apache Web 服务器:它比 Microsoft 的具有专利权的 IIS Web 服务器流行得多,但是 Apache 的严重安全性漏洞却比 IIS 少。
还有一点很清楚,攻击者实际上并不需要源代码。只要研究可获得的所有 Microsoft Windows 漏洞利用就可以了!更重要的是,如果攻击者需要源代码,那么他们会使用反编译器,来重新创建源代码,这样重新创建的源代码对攻击目的而言足够了。
但是答案也并非就是“FLOSS 总是比较安全的”。毕竟,您可以将具有专利权的程序的许可证更改成 FLOSS,而不更改其代码,而它不会突然就变得更安全。相反,有几个因素看来是使 FLOSS 程序拥有良好的安全性所必不可少的:
•必须多人真正地评审代码。有多种因素会减少进行评审的可能性,如用于特殊领域或很少用到的产品(可能的评审者很少)、开发人员很少、使用罕见的计算机语言或实际上不是 FLOSS(如“共享源码”许可证)。如果每次代码更改都由许多开发人员进行检查,这通常有助于安全性。
•至少某些开发和评审代码的人必须知道如何编写安全的程序。一个人可以帮助培训其他人,但是您必须有一个起点。
•一旦发现安全性漏洞,需要快速地开展修补工作并将修补成果进行分发。
简而言之,程序是否安全最重要的因素是 - 不管它是 FLOSS 还是具有专利权的 - 其开发人员是否知道如何编写安全的程序。
如果您需要安全的程序,那么使用 FLOSS 程序就相当合理 - 但您需要以某种方式评估它以确定它对于您的目的是否足够安全。 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |