當前位置:
首頁 > 最新 > 安全對於開放源碼的數據中心堆棧來說是一個特殊的挑戰

安全對於開放源碼的數據中心堆棧來說是一個特殊的挑戰

最新 03-30

關鍵訊息,D1時間送達!

Sungard Availability Services公司安全管理與風險總監Mitch Kavalsky表示:「開源軟體對漏洞修復的支持沒有保證,當漏洞未得到修補時,其風險將會增加。」這就是為什麼在美國和歐洲擁有多個數據中心的託管服務商Atlantic.net公司的關鍵任務系統並沒有採用開源軟體的原因。

對於數據中心運營商來說,開源軟體提供了許多優勢。它是免費的軟體,其代碼可以被檢查和修改。此外,如果是一個流行的軟體包,那麼可能還擁有一個龐大的包含支持論壇、相關工具、兼容軟體等的生態系統。

此外,根據「多雙眼睛」的安全理論,很多人在關注和審查代碼(例如世界上最大的金融公司的安全專業人員),可以快速找到並修復任何問題。

開源軟體是免費的嗎?

難怪有人說大部分互聯網都運行在開源軟體上。這是因為大多數網站都運行在由Apache和Nginx公司領導的開源軟體上,大多數企業伺服器都運行在Linux操作系統上。

還有一些數據中心使用Apache Mesos和HashCorp的Nomad這兩個開源數據中心操作系統。

網路安全公司TrapX的首席營銷官Anthony James表示,Kubernetes和Docker是用於在伺服器集群上部署容器的流行開源平台,可提供應用程序的自動化、擴展和運行。流行的開源資料庫伺服器還包括MySQL和MariaDB等。

即使商業軟體也無法抵擋開源趨勢。Synopsys公司表示,現在96%的商業應用程序都提供開源組件,而追蹤開源代碼的Black Duck 軟體公司是Synopsys公司的子公司。

開源組件使商業軟體商店和內部團隊的開發更快、成本更低。

「所有這些都將產生一堆開源軟體。」Black Duck公司高級技術專家Tim Mackey說,「但是開源代碼的傳播有一個缺點,那就是補丁管理。」

「很多人表示,那麼我如何打補丁呢?」Mackey說,「他們還不是很了解。」

為什麼開源軟體打補丁很難

當商業軟體推出最新版本或補丁時,開發商可以向他們的客戶推送。這些企業知道客戶在哪裡,因為有財務激勵,軟體開發商希望向客戶出售更多產品。

開源項目並非如此。任何人都可以下載開源軟體,而無需任何聯繫或付款。如果有更新或安全補丁,將由用戶自己來維護、下載並安裝。

Sungard Availability Services公司安全管理與風險總監Mitch Kavalsky表示:「開源軟體對漏洞修復的支持沒有保證,當漏洞未得到修補時,其風險將會增加。」

這就是為什麼在美國和歐洲擁有多個數據中心的託管服務商Atlantic.net公司的關鍵任務系統並沒有採用開源軟體的原因。

Atlantic.net公司首席執行官Marty Puranik表示:「關鍵任務系統需要有一個已知的維護路徑,如果發生了錯誤,採用開放源代碼可能只有等待新版本的推出。隨著時間的推移,開源軟體更多的發展,但我們還沒有採用。」

但是企業希望遠離開源軟體並不總是那麼容易。大多數企業甚至不知道其環境中有哪些開源軟體、工具和組件。當Apache公司去年為其開源Struts Web應用程序框架發布了安全補丁時,Equifax公司在它的環境中搜索了兩次受影響的代碼。儘管Equifax正在使用Struts,但未能及時找到並修補它,並且這個漏洞曾經導致1.35億條個人記錄泄露。

更糟糕的是,當開源代碼隱藏在商業軟體包中時,使用它們的公司甚至可能不知道這些漏洞在哪裡。

Black Duck公司表示,67%的商業應用程序正在使用具有已知漏洞的組件。

開發人員並不總是檢查他們使用的開源組件是否是最新版本,甚至在他們這樣做時也沒有檢查,而一旦將開源組件添加到代碼中,開發人員很少檢查是否發布了更新,它們可能已經轉移到其他項目上,或者乾脆忘記了他們使用的所有組件。

同時,並不是所有的開源項目都對安全性給予足夠的重視。較大的開源項目可能會有企業的團隊來跟蹤和修復漏洞並發布補丁。但是較小的項目可能沒有足夠的人員來管理。

瞻博網路網路安全策略師Nick Bilogorskiy表示,「根據經驗,大多數採用開源軟體的項目都難於保持最新狀態,並且冒著被已知漏洞利用的巨大風險。」

此外,黑客可以看到代碼本身,並試圖找出濫用它的方法。

GuardiCore公司研究副總裁Ofri Ziv表示,他們甚至可以利用自己可以利用的秘密後門將補丁提交給開源項目。如果開源項目程序員很少或不夠專業,他們可能不會發現問題。

「由於這些原因,採用免費或開源解決方案將帶來更大的風險。」位於佛羅里達州的網路安全廠商5nine軟體公司的首席技術官Konstantin Malkov說。

那麼採用什麼樣的解決方案?

第一步是掌握數據中心使用的開源軟體。

通常,IT經理和開發人員可以上網並下載他們需要的工具和組件,而無需任何監督。因為它是免費的,沒有購買過程,所以沒有監督。

特別是,數據中心需要謹慎採用來自小項目的開源軟體,因為沒有強大的社區來維護它。最後,人們需要採取行動。

「應該儘快實施響應式補丁實踐,以儘快處理問題,」洛杉磯的網路安全公司Prevoty的首席技術官兼共同創始人Kunal Anand說。

畢竟,居心不良的人不會無動於衷。

版權聲明:本文為企業網D1Net編譯,轉載需註明出處為:企業網D1Net,如果不註明出處,企業網D1Net將保留追究其法律責任的權利。

(來源:企業網D1Net)

企業網D1net已推出企業應用商店(www.enappstore.com),面向企業級軟體,SaaS等提供商,提供陳列,點評功能,不參與交易和交付。現可免費入駐,入駐後,可獲得在企業網D1net 相應公眾號推薦的機會。歡迎入駐。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 數據中心D1net 的精彩文章:

哪些數據中心入侵防禦系統值得投資?

TAG:數據中心D1net |