问:我所在的公司正在考虑从Microsoft Office过渡到OpenOffice。请问在此过程中,需要考虑哪些安全问题呢?
答:开源软件和商业软件哪个更安全,对这个问题的争论永远也不会停止。当然,在涉及到安全问题时,完善的开源项目(如Apache)完全可以与同等水平的商业软件相媲美,支持开源的人强调商业软件(如来自微软和Adobe供应商的商业软件)持续存在着安全漏洞问题。开源软件的开发人员认为,开发过程的开放性会导致更多的安全缺陷被捕获。然而,软件不会仅仅因为是开源类的就不存在缺陷。开源软件和商业软件或内部开发的软件一样,都面临着漏洞问题。
近日,OpenOffice.org发布了3.2版本,此版本修复了以前版本中存在的6个漏洞。这些漏洞可以被利用,从而执行任意的代码或者绕过认证保护。远程代码执行漏洞非常受黑客们欢迎,因为他们可以让用户打开电子邮件中的一个恶意文件,然后远程执行漏洞利用代码。OpenOffice.org 3.x有着超过1亿的下载量,这么大的用户基数已足以吸引恶意黑客们的兴趣了。
Fortify Software公司对2008年11款受欢迎的开源应用程序进行的一项研究表明,企业忽视了安全问题,从而低估了使用开源软件所带来的商业风险。一项研究发现,商业软件对漏洞的修复速度往往快于开源软件,因为商业软件厂商会面临更多的风险。针对这一点可以公开的进行讨论,不过可以肯定的是,一些开源项目确实是缺乏商业软件中的改变—控制(change-control)流程和测试工具。如果开发过程中缺乏安全流程,那么漏洞就会成为一个问题。Mozilla一直被认为是最重视安全的开源项目,但报告发现其它许多项目在设计和开发阶段并不具备有效的安全性。相反,许多商业软件公司采用了一种名为安全开发生命周期(Security Development Lifecycle)的方法对其产品进行了升级,其产品代码的漏洞数量也大大减少。
你在采用任一款开源软件之前,都必须进行风险分析和代码审查。要想真正了解应用程序的工作原理和应对事故的措施,你需要仔细阅读帮助文档。省下的软件许可费可以用来进行培训、支持和维护。用户必须接受适当的培训,因为新软件可能会以不同的方式实现类似功能。例如,OpenOffice往往不会像微软的Office一样,在用户打开一个宏命令时弹出很多用户警告对话框。如果应用程序引入了新功能(如文件共享),你就得对可接受的使用政策(包括如何以及何时使用这些功能)进行更新。
当开源软件运行出错时,没有相关人员可以帮助你。所以,你一定要确保能找到一个支持此软件的活跃论坛或小组,从这里你可以咨询一些问题并得到相关建议。另外,你还需要订阅相关新闻组(那种可以覆盖你所用的开源软件开发的新闻组)。 OpenOffice.org项目就有一个安全小组,通过专门电子邮件列表发布OpenOffice软件的安全警报。要订阅该列表,你只要发送一封空邮件到alerts-subscribe@security.openoffice.org即可。OpenOffice.org安全小组还会在其安全公告上发布安全漏洞的细节。
相关阅读