安全问题是大多数网站建设初创企业不愿在其项目中使用开源网站(OSS)的主要原因。当项目代码的一部分打开时,它似乎容易受到安全威胁,并且更有可能被复制。在本文中,我们将揭露有关开源解决方案安全性的一些常见神话。
1、任何人都可以阅读开放代码并利用错误
虽然原则上可以阅读和破坏开放源代码,但实际上情况要复杂得多。
首先,根据专家的意见,破坏网站的人实际上不需要查看源代码。对于经验丰富的开发人员,无需深入研究成千上万行代码来查找易受攻击的代码。那么为什么人们声称开源代码是不安全的呢?
实际上,任何类型的代码(封闭源代码或开放源代码)都会给产品带来安全威胁。最终,使开源代码安全或不安全的是开发人员。不安全性是由于许多错误引起的,例如:
(1)不遵循安全准则
(2)设置网站不当
(3)使用简单的密码
(4)缺乏数据验证流程
(5)缺乏数据加密技术
这种情况在实践中变得更加复杂的第二个原因是,任何人都可以阅读代码的事实实际上增加了您发现和修复错误的机会。通常,开源项目拥有充满活力的社区,这些社区不断支持它们并检查它们的缺陷。此外,开发人员关心自己的声誉,并希望展示根据最佳实践编写的代码,并希望找到并修复潜在的安全漏洞。
2、没有经济激励手段就没有动机确保OSS的安全
实际上,许多成功的开源产品已经为其背后的团队带来了收益。例如,Mozilla从Firefox中获得很大一部分收入,用于用户点击搜索页广告。这种能力的大多数项目都有自己的安全响应团队,专门致力于修补漏洞。
对于无法盈利的开源工具,发现漏洞时,开源项目团队通常会立即修复该漏洞(因为声誉受到威胁),或公开披露问题,以便所有实施此漏洞的人代码可以采取适当的措施-例如,关闭易受攻击的功能或设置其他硬件和网站,以避免在修复之前使用受影响的功能。
就开发开源网站的动机而言,OSS社区中的每个开发人员都有动机提供没有重大缺陷的高质量产品,以证明自己的能力。另一方面,企业通常在许多方面受到限制(金钱,时间,业务目标等),因此实际上可能会限制他们在产品安全方面的投资额。由于开放源代码开发人员出于个人动机去从事他们选择的项目,因此结果是一个完整的开发过程,公开发布的漏洞更少。
3、专有网站在本质上比开源网站更安全
这个神话来自许多偏见。但是商业许可证不能保证安全。与专有网站不同,开源项目对潜在漏洞透明。使用付费网站,您只需要信任供应商。使用OSS,您还可以参与代码审查,然后坚持使用先前的版本,发布自己的补丁,甚至在怀疑的情况下禁用某些功能,直至另行通知。
在本文的开头,我们提到了从事开源项目的大量人员的好处:他们更有可能迅速找到并修复错误。相反,专有网站团队通常由较少的人员组成,并不总是包括帮助消除漏洞的必要专家,例如QA工程师。
那么开源网站实际上比专有网站更安全吗?
开源网站天生就更安全吗?当然不是。您需要分别查看每个网站的安全性和声誉。
要调查产品的安全性,您始终可以查看其版本历史记录并查看以前的安全性问题。也许您甚至会找到一个独立的机构来担保产品的安全性,或者是证明产品可靠性的证书,或者是一位受人尊敬的同事,可以向您保证产品是市场上的最佳选择。
此外,您还可以查看竞争对手,合作伙伴和行业内知名公司使用的工具。仅此就很好地表明了该框架对于初创企业足够可靠。
可能情况是,最适合您的选择是专有网站建设,或者专有和开源工具的混合(例如,Facebook和Google采取的一种流行方法)。重要的是您要根据研究做出决定,并避免基于偏见做出决定。
