开源代码不等于不安全源

jopen 12年前

  在经济全球化、信息全球化的大环境下,开放标准、开放计算以及开源软件已经成为 IT 产业发展的重要推力。当前,中国大量开发者参加了开源社区的工作,并作出了很大的贡献,中国正逐步从开源社区消费者变为贡献者。我国的一些大企业纷纷参与部署开源软件研发应用,利用开源打开市场,创造新的利润增长点。

  开源软件已经渗透到了我们日常生活的方方面面,只是这种渗透不易被我们察觉。

  开源代码并不等同于不安全源

  最初开源软件只被看作是属于开发者和 IT 爱好者的平台,而现在开源软件可运行在那些最严苛的环境中,开源已成为一种被普遍接受,并行之有效的商业模式。尽管仍有一些人对开源软件,特别是 Linux 的“企业级就绪”感到怀疑,企业在使用开源技术时,其中一个重要的考虑便是开源软件的安全性。但需要指出的是,开源代码并不等同于不安全源。

  利用开源代码,企业可以检查实际的代码,并了解它在系统内部是怎样工作的,这使企业可以精确地掌握软件是怎样运作的。开源软件领域有一个趋势,那就是注重安全的操作系统。在每个操作系统和应用软件中都可以发现安全漏洞,应用程序开发人员和操作系统供应商需要在发现漏洞之后尽快的修复并关闭这些漏洞。

  由于零日攻击(即攻击者在漏洞被公布和被修复的间隙对系统发起攻击)的出现,美国国家安全局(NSA)意识到需要一种安全的操作系统,以尽量减少这种攻击的风险。他们已经开发出一种称为安全增强型的 Linux 系统(SELinux)根据美国国家安全局的说法,这种架构提供了一种机制,来执行基于机密性和完整性需求的信息隔离。这使那些篡改和绕过应用程序安全机制的威胁得以处理,并且有效地限制了恶意程序或有缺陷的应用程序造成的损害。

  开源是云的重要推动者

  开源技术与软件在云计算服务中扮演着重要的角色,他们提供了高度定制的能力,使得云计算可以按照开发者的设想而构建,并免除了巨大的授权许可费用。

  云计算不是一种特定的技术,而是各种技术整合在一起的一种模式。它的存在是为了实现更加快速而灵活的 IT 基础架构,以适应企业的业务需求。它的价值源于企业有能力根据他们的需求来选择最佳的解决方案。向云迁移的重中之重是对遗留系统实施标准化,需要根据具体情况使用更现代化的标准硬件和软件。开放的云能在硬件,软件和培训中平衡企业现有的 IT 投入,帮助企业以渐进的方式构建云,同时降低成本和风险。

  开源软件为关键型任务应用软件做好了准备

  对不同的用户来说,关键型任务(mission-critical)可能意味着不同的事情,但是它们有一个共同点就是不中断的连续计算。近些年,有一些主要的硬件和应用软件供应商已经将开源软件部署在关键任务环境中。

  将开源软件用于关键任务应用软件的例子非常多,日前,深圳证券交易所与红帽签订了协议。通过与红帽的合作,深圳证券交易所计划以更科学合理的架构来搭建支持多层次、多品种、跨市场的一体化集中交易系统,为市场发展提供更高的效率、安全性、可扩展性和业务适应性。全新的交易系统详细的性能要求包括 99.99% 的可用性,1分钟内的故障切换时间,每秒 30 万笔的吞吐量,毫秒级的延迟时间以及可以支持日处理订单 3 亿笔。根据 Gartner 的报告,到 2015 年,将会有 95% 以上的主流 IT 团体会利用开源解决方案部署关键型任务软件。

  目前,所有成功的科技公司都在使用或是致力于开源代码。曾经称 Linux 为“癌症”的微软与 SUSE Linux 签订了长达 4 年的协议,支持 Linux 并不是因为他们想这么做,而是源于用户的需要;虚拟化巨头 VMware 递交了申请,希望加入开架系统基金会;就连全球最封闭的公司之一的苹果,也采用了大量的开源代码。可以说,这是开放创新的时代,这是一个开源当道的时代。(文/ZDNet 谭健)