企業採用開放源碼軟體的安全隱憂

本篇文章引用自此

摘:

安全業者：企業採用開放源碼軟體要注意安全隱憂
文/陳曉莉 (編譯) 2008-07-22

被檢驗的11種開放源碼產品，發現總計有2.2萬的Cross-Site Scripting漏洞，以及1.5萬的SQL Injection漏洞。

軟體安全公司Fortify在周一（7/21）發表其開放源碼安全研究報告指出，被企業廣泛採用的開放源碼套裝軟體讓使用者曝露在重大且不必要的營運風險中。

Fortify與應用程式安全顧問Larry Suto共同檢驗了11種最普及的Java開放源碼套裝產品，並評估開放源碼社群提供給使用者的安全意見，以及測試其安全開發程序，包括與開發人員互動以 及檢視相關安全策略的相關文件，以及利用Fortify的安全分析工具偵測這些產品不同版本的安全性，並在特定程式碼區域執行手動偵測。

被檢驗的11種開放源碼產品分別是關聯性資料庫Derby、物件關係對應工具Hibernate、CRM網站應用程式Hipergate、電子商務網站應 用程式OFBiz、內容管理OpenCMS、網站應用程式架構Struts，以及涵蓋Geronimo、JBoss、JOnAS、Resin及 Tomcat等五種應用程式伺服器等。

Fortify利用Java Open Review（JOR）偵測上述產品不同版本進行安全漏洞檢視，發現總計有2.2萬的跨站攻擊漏洞（Cross-Site Scripting）以及1.5萬的資料隱碼漏洞（SQL Injection），此外，Fortify亦發現許多開發人員因為沒有採用安全開發周期的相關工具，導致錯失偵測及修補這些安全漏洞的關鍵機會。

該份報告揭露了上述產品的漏洞密度，顯示漏洞密度最底的前五項產品依序是JBoss、Hibernate、Ofbiz、Strusts及Geronimo，而漏洞密度最高的則是Hibernate。

......等等.

--------------------------------------------------------------------------------

有許多資訊相關的朋友們似乎都有一種很有趣的情節 --- 自由軟體(Open Source Softeware, OSS)偏好.
有些甚至會嚴重到, 似乎使用了OSS就油然而生出一種莫名其妙的卓越感,
我一直沒有辦法猜測, 感覺出這卓越感跟OSS有甚麼關係/連結?

OSS, 很棒, 這是無庸置疑的, 尤其在這全球不景氣的今天(尤其是我個人),
但是, 若排除了價格上的考量, OSS存在著一些嚴重的問題, 尤其是安全問題(Security), 效能(Efficiency), and 整合性(Integration).

這篇報導所瞄準的就是Security, 而疏忽Security的企業卻往往遭遇重大的損失, 若將這樣的損失聯結到企業財務, 似乎也是變相地增加了使用OSS的成本.

因此, 是否使用OSS一直都是個有趣的蹺蹺板問題,
答案是???

我的建議是:
"只要你行, 你敢用, OSS將會是你最好的選擇 !!~"