IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全安全防護(hù) → 封閉源碼軟件在安全上的十項(xiàng)挑戰(zhàn)

封閉源碼軟件在安全上的十項(xiàng)挑戰(zhàn)

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

  根據(jù)戴維·A·惠勒的著作"如何在Linux和Unix系統(tǒng)下進(jìn)行安全編程",對(duì)安全軟件開發(fā)提出了三個(gè)方面的核心要求:

  首先,必須對(duì)代碼進(jìn)行真正的檢查。

  其次,在開發(fā)和檢驗(yàn)代碼的人中,必須至少有一部分了解怎么撰寫安全程序。

  再次,一旦問題被發(fā)現(xiàn),就必須被馬上修正,并且將補(bǔ)丁迅速散發(fā)下去。

  惠勒的文章對(duì)于希望了解安全技術(shù)學(xué)習(xí)安全編程的人來說,是最好的網(wǎng)絡(luò)資源之一。對(duì)于廣大真正的安全軟件設(shè)計(jì)者來說,這三項(xiàng)原則是必備的。

  惠勒的原則在一定程度上可以解釋為什么開放源碼軟件比其封閉源代碼的同類有更多潛在的安全性。和封閉源代碼軟件一樣,開放源碼軟件沒有任何理由顯示不必遵守這三項(xiàng)原則,畢竟軟件開發(fā)的模式都是類似的。

  不過,這還是存在了一些問題的:

  1. 由于保密協(xié)議的限制,獨(dú)立代碼審查的費(fèi)用往往是極為昂貴的。

  2. 免費(fèi)代碼審查將會(huì)很快地變得越來容易得到的,因?yàn)槿藗兺ǔT谝獾氖悄憬o他們什么東西,特別是在開放源代碼軟件在很多地方都出現(xiàn)的時(shí)間。

  3. 更多的代碼審查,會(huì)讓代碼更安全——不過即使你為封閉源代碼或"源"提供的代碼進(jìn)行了足夠數(shù)量的審查,它的安全還是不會(huì)比開放源代碼的軟件高。

  4. 大部分最好的安全程序代碼的作者都認(rèn)為,開放源碼是獲得安全代碼的最好方式(見柯克霍夫原則),因此,你在代碼封閉開發(fā)的時(shí)間,可能很難聘請(qǐng)到他們。

  5. 由于雇傭和解聘導(dǎo)致人員頻繁的變換,最后可能會(huì)讓企業(yè)中代碼的管理者并不知道安全代碼的實(shí)際情況。

  6. 企業(yè)的責(zé)任在于讓股東獲得利潤而不是提高軟件的實(shí)際質(zhì)量。這就意味著,任何能提高收入或者降低成本的措施都是可以選擇的,而這是與安全編碼的目標(biāo)相沖突的,也就是說安全編碼的結(jié)果可能受到損害??紤]到了解如何編寫安全代碼的

  程序員的身價(jià)都是很高的,人力資源部門對(duì)薪酬的嚴(yán)格限制將反過來限制雇用最好的程序員的能力。

  7. 綜觀軟件管理系統(tǒng)領(lǐng)域,象APT for Debian GNU/Linux這樣的開放源代碼的類UNIX操作系統(tǒng)以及FreeBSD操作系統(tǒng)的端口系統(tǒng)不會(huì)是封閉源代碼的,是經(jīng)常以開放源代碼的形式出現(xiàn),而象微軟Windows操作系統(tǒng)在通常情況下無論如何也是不會(huì)接受任何第三方軟件的。這就意味著,封閉源代碼軟件的快速修復(fù)通常依賴于最終用戶提供的修復(fù)信息,以及他們自己獲取和安裝修補(bǔ)版本軟件的能力。

  8. 公司需要承擔(dān)的責(zé)任對(duì)于補(bǔ)丁的發(fā)布來說是一個(gè)重要的因素;延遲發(fā)布安全補(bǔ)丁(有時(shí)是無限期),甚至阻礙用戶找到可靠的資料對(duì)漏洞進(jìn)行修復(fù),對(duì)安全漏洞進(jìn)行輕描淡寫,可以讓企業(yè)的短期利益獲得最大化。

  9. 對(duì)安全補(bǔ)丁進(jìn)行分析、開發(fā)和測試的好壞取決于開發(fā)者和測試者的能力。在開放源代碼軟件的情況下,開發(fā)和測試的人員數(shù)量會(huì)有顯著的增長。

  10. 戴維·A·惠勒在"如何在Linux和Unix系統(tǒng)下進(jìn)行安全編程"一文中指出,如果不能很方便地更改封閉源代碼軟件的時(shí)間,你可以選擇開放源代碼軟件,并給予必要的內(nèi)部支持。

  對(duì)于封閉源代碼來說,清除了這些缺點(diǎn)就可以帶來改進(jìn)或性能提高的。我們沒有理由認(rèn)為封閉源代碼軟件的開發(fā)商不能象開放源代碼軟件一樣提供安全。但在條件相同的情況下,當(dāng)前的趨勢(shì)是看好開放源代碼的安全軟件,至少從安全原則的角度看是這個(gè)樣子。

關(guān)鍵詞標(biāo)簽:源碼軟件

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置