開源軟體的安全性不足？

　　企業在使用開源技術時，其中一個考慮便是開源軟體的安全性。筆者已經不只一次指出，為何開源軟體會比較安全。但每隔一段時間，總會有人提出相反的論點，現在又是時候發文以正視聽了。

　　Aspect Security和Sonatype在2012年3月26日，公開了這份名為New Study Reveals Widespread Use of Vulnerable Open-Source Components by the Global 500的調查。調查結果發現最受歡迎的31個開源程式中，其不安全的版本被下載了超過4,600萬次。Google Web Toolkit(GWT)有已知漏洞的版本，被下載了1,770萬次。其他像Xerces、Spring MVC、Struts 1.x等程式的不安全版本，也被下載了相當的次數。

　　這算是什麼調查結果？頂多只能說不少開源程式過去都曾出現過有漏洞的版本。任何一個程式都會有漏洞，開源程式也不例外。大家說開源程式比較安全，原 因只是因為程式碼是公開的、而且有全球開發人員的協助，有漏洞時會更快地被發現、更快的被修正。以開源瀏覽器Firefox為例，2009年 Secunia的調查發現，Firefox的零時差漏洞最快在15天內已經修補，最長修補時間為86天。Internet Explorer最少要110天才修補完高度風險的零時差漏洞， 最長則花了294天。

　　這點大概Sonatype也是明白的，所以在文章的下一段便出現了這樣的描述：“開源社群的檢查令漏洞被發現的機會大增，事實上開源軟體在系統安全的報告、比同型別的專屬軟體多出20%”，表示開源軟體在偵測漏洞的活躍程度，比專屬軟體為高。這樣有什麼問題？

　　Sonatype認為，問題出在開源軟體缺乏軟體更新的集中管理機制，沒有把相關資料通知使用者的設計，令使用者一直在沿用有問題的版本。 Sonatype的人大概沒有用過Linux系統裡的yum和apt吧？當有更新檔提供時，系統會取得最新資訊自動通知使用者更新。看來無法取得最新資訊的 是Sonatype？如果大家有興趣看看這篇語無倫次的文章，不妨看這裡。

來自：http://www.linuxpilot.net/industry/news/2012040401Open-Source-Vulnerable