开源软件:你到底安不安全

使用开源软件的领域与日俱增,享受开源软件的用户也越来越多,那么使用开源软件到底安不安全呢?大家在使用开源软件时常常有这样的困惑,到底开源软件安全是否能达到商业软件的安全性能?目前有哪些可以增强开源软件安全的项目?此外,开源软件几乎都是采用大集市式的开发模式进行开发,这样宽松的环境开发出来的软件是否安全?又该如何提高开源软件开发和应用安全?本次开源专题将介绍开源软件的安全性及开发过程中的安全性。     

开源软件，路在何方？——访Apache之父布莱恩·贝伦多夫

自2000年以来，中国有越来越多的软件开发者或开发团队加入到开源社区中来，但人们对开源的认识似乎仅仅只限于将它理解为免费的“拿来主义”。实际上，很多业界巨头都纷纷投入资本来支持一些著名的开源项目，如IBM投入数百万美元开发Eclipse项目，Sun和HP资助Gnome项目开发，Netscape公司将Firefox浏览器代码捐赠给Mozilla基金会。开源为何能够引起如此多厂商的兴趣？开源与商业之间是否存在统一的一面？各大开源厂商所采取的商业模式又是如何的？中国的开源软件发展应该从中获得什么启示？带着这些问题，本刊记者特邀采访了著名开源运动领袖、Apache之父——布莱恩·贝伦多夫（Brian Behlendorf）先生。     

开源软件安全问题与对策

该文分析了开源软件的技术优势与安全问题以及人们的某些误解,讨论了针对其各种安全隐患应采取的对策,提出了提高开源软件安全性的方案。     

开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。     

从软件安全开发生命周期实践的角度保障软件供应链安全

软件供应链安全覆盖软件的开发生命周期和生存周期,且与软件开发过程中的人员、工具、环境等因素密切相关,因而通过不同途径和不同方式能使得软件系统自带安全缺陷,并最终被恶意人员利用形成网络安全事件。文章基于行业主流的软件安全开发生命周期(S-SDLC)流程方法,从软件开发单位自身的安全开发管理、安全开发技术、供应商管理等方面,提出了软件开发过程中保障软件供应链安全的体系化方法,为软件开发过程中尽可能地避免和消除软件安全缺陷、保障软件供应链安全奠定重要基础。     

开源安全 拨云见日

开源软件已经应用到人们生活中的各个领域。但是仍有不少人觉得开源软件在安全性上还没达到人们期待的标准，应用开源软件存在各种安全隐患。其实不然，如今的开源软件具有毫不逊色于商业软件的安全性。     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

鱼与熊掌可兼得

在企业的应用开发中,开发人员常常面临着两难的抉择:到底是选用开源软件或商用软件?而实际上,他们既需要开源软件,也需要商用软件,这种情况下,“鱼与熊掌”要兼得。     

浅谈网络安全体系下的软件安全开发人才培养

软件安全开发是近年来我国网信行业积极实践的网络安全保障措施,旨在软件系统开发过程中降低安全漏洞的存在。然而,软件安全开发人才匮乏是当前实践面临的关键问题。文章依据行业有关软件安全开发人员岗位和技能的典型要求,介绍在当前网络安全体系下培养软件安全开发人才的关键思路和核心内容,最后说明在软件安全开发人才培养方面获得的初步成效。     

对软件安全开发流程的研究

随着软件产品使用的越来越广泛,软件的安全问题日益受到重视.对于软件开发者来说,开发出能够更好地应对漏洞攻击,安全性高的软件也变得越来越重要.传统软件工程中所包括的软件开发流程已经不能满足人们对于软件安全的要求,为了解决这个问题,基于已有的SDL软件安全开发流程进行优化,提出了一种新型的软件安全开发流程.     

基于开源软件构建的云计算平台安全性概述

云计算以其提高服务质量的同时降低运维成本的优越性越来越被业界看好,在云计算时代发展开源软件,将有利于推进云计算产业的发展。但是基于开源软件构建的云平台依然无法回避其安全的"瓶颈"问题。开源软件具有更好的安全性,这是不争事实,但是开源软件要在源代码之外,配置安全管理,本文讨论了基于开源软件的云平台构建所面临的安全问题,应该采取的安全管理措施。     

安全关键软件的安全性保障工作研究

安全关键软件如果发生故障,可能会对国家财产和人民安全造成巨大的损失,所以需要重点考虑它们的安全性.但是由于当前还无法精确地定量评估软件安全性,而只能在软件生命周期中从安全性角度对开发行为进行规范和保障.概述了安全性相关的概念,并给出了一个完整的安全关键软件安全性保障工作流程.     

为开源中文字体起舞

想知道一个开源项目到底是怎样运作的么？开发开源系统或者开源软件这种活儿技术性太强,《Geek》就不在此介绍了,毕竟看我们杂志的Geek并非都是程序员：不过,与开源软件的本土化工作密切相关的中文字体的开发却简单易懂、老少咸宜,咱们倒是可以拿这东西来跟大家好好聊聊。所以《Geek》这次请来了文泉驿开源中文字体项目的发起人,哈佛医学院的房骞骞博士,让他跟各位介绍—下文泉驿计划的开发故事。也许看过这篇采访之后,你会发现原本“高深莫测”的字体设计和开源开发,其实都可以很简单。     

产业观察 开源软件的安全风险

小错误、大后果 由于许多Wed服务都使用开源软件,所以它们随时都有可能发生类似Hearbleed的安全风险。     

安全的选择

各大公司纷纷投入开源的怀抱，从他们的行动中我们也更有信心相信开源软件的安全性和可靠性并不落后于商业软件。     

加强软件安全还需合理管理开源

现在许多公司越来越明白这一点：想比竞争对手更迅速地开发出质量更好的创新软件,关键在于借助使用开源软件（OSS）。不过使用开源也带来了一系列不同的挑战。虽然贵企业的团队能够获得速度和敏捷性,但常常更难查明代码的真正来源、确保代码安全可靠。     

使用基于脚本的故障注入测试安全苛求软件

由于安全性苛求软件直接关系人身和大宗财产的安全,为此需要对软件进行严格的安全性测试。提出了一个基于脚本语言的故障注入方法以期得到新的测试手段。此方法通过在故障环境下运行安全苛求软件检验其是否容错和故障安全,结果显示软件测试覆盖率和揭错能力均有增强。该系统可进一步提高安全苛求软件测试自动化水平和测试效率。     

基于OpenSSL的安全协议SSL的应用

介绍SSL安全协议的组成部分以及实现原理,分析SSL的握手过程,并对其安全性进行分析。使用ApacheWeb服务器和开源软件OpenSSL在Linux环境下为通信双方建立证书、协商密钥,实现安全通信。     

计算机软件安全检测方法的探讨

随着现代科学技术的不断发展,越来越多的领域需要利用计算机软件,为了发现计算机软件中的故障,才有了软件安全检测,并且对计算机软件中的风险进行有效的避免与更正。在如今病毒与黑客横行的时代,维护计算机的安全更是成为一项重要的任务。软件的应用越来越广泛,规模和复杂度不断提高,软件中的安全缺陷与漏洞也在不断增多,随着使用范围的扩大,软件的安全性问题也越来越多。软件的安全测试保证了计算机和软件的安全性,降低了计算机的风险。     

构件化安全苛求软件的安全接口策略

在采用构件化技术的安全苛求软件中,软件的安全性仍旧是首要特性,介绍了多故障模式下的安全接口策略,并将此理论应用在铁路车站计算机联锁软件这种安全苛求软件的开发中,对系统中单个构件定义安全接口,从而为整个软件系统提供了有效的安全性保障。