基本上,許多提供開放原始碼軟體的開發者,最初研發的動機,便是出自於自身的需求,因此,很有可能在自己不再使用之後,便停止開發,或是交由他人維護,導致日後的軟體品質堪慮。雖然原始碼公開之後,任何人都能加以改寫、改進,但缺乏有志之士挺身而出延續軟體維護的情況,也不時發生,甚至還有在專案移交之後,新任維護者從供應鏈下手攻擊的現象。因此,許多的資訊人員,對於開源解決方案,心裡總有一份擔憂,畢竟,商業軟體出錯,或許可以找廠商負責弄到好,但開放原始碼的軟體,出現各種異常通常得自行處理,很多原本躍躍欲試的資訊人員,可能因此打退堂鼓。
鄭郁霖指出,IT人員想要挑選合適的開源軟體,不只要從自身的需求面評估,也要考量軟體開發者的支援能力,減少導入之後一旦遇到開發者停止維護,便求助無門的情形。資訊人員想要確認這件事,可從3個面向著手,首先,是這款軟體的更新頻率,假如一款軟體好幾年都沒有更新,那麼要是使用之後遇到臭蟲,或是與其他應用程式不相容的情形,可能就得要自行想辦法解決。
再者,則是有關這款軟體受到採用的程度。假如一款開源軟體有許多人採用,那麼出現錯誤時,除了開發者能夠處理,也比較有機會出現有志之士,協助提出修正檔案或是其他解決方案。
若是擔憂個人開發者可能因為自身各式的狀態,而終止軟體維護,鄭郁霖認為,也可以選擇由商業公司提供的開源軟體。由於這種型態的廠商,通常以提供技術支援與軟體進階功能獲利,開源版本的口碑會影響其商譽,因此,由他們推出的開源軟體,可靠性與後續的支援較有保障。
除了軟體開發者支援的能力,開源軟體的授權和安全性,也是必須納入評估的部分。不過,雖說資訊人員可透過前述指標,確保自己不會變成軟體孤兒,但是開源軟體的授權種類繁多,會不會存在什麼限制沒有留意到,而導致企業不小心違反相關授權條款?軟體的安全性又要如何評估?有沒有工具能協助我們判斷呢?
答案其實是有的。鄭郁霖提出了Open Hub平臺──IT人員只要輸入開源軟體的名稱,該平臺就會顯示有關這套軟體專案的情況,包含所採用的授權模式、漏洞出現的頻率與修補因應的可靠程度指標、專案的活躍程度,以及具有高度同質性的替代開源軟體等資訊,可供參考。Open Hub由老牌開源套件檢測解決方案業者Black Duck(現被Synopsys併購)推出,統整了47萬款開源軟體專案的資料,對於想要採用開放原始碼解決方案的IT人員而言,Open Hub可說是相當實用的資訊平臺。
想要了解開源軟體的評價,老牌開源套件檢測解決方案業者Black Duck所推出的Open Hub,可讓IT人員快速掌握所需資訊,包含頁面上方的專案概略介紹,以及性質相近的解決方案,還有中間對於所採用的授權方式說明,而下方則是呈現了軟體的發展情形,包含程式碼數量的增長趨勢、每個月提交的項目與貢獻者人數等資訊。
資料來源:iThome
因應10種資安防護需求的免費與開源工具
事前預防
05.軟體更新管理 WSUS
(Windows Server作業系統的內建功能)
(Windows Server作業系統的內建功能)
07.暴力登入防治 Fail2ban與Wail2ban
Fail2ban https://www.fail2ban.org/wiki/index.php
Wail2ban https://github.com/glasnt/wail2ban
Fail2ban https://www.fail2ban.org/wiki/index.php
Wail2ban https://github.com/glasnt/wail2ban
事中偵察
08.防範DDoS攻擊 Imperva Incapsula或Cloudflare WAF
Imperva Incapsula https://www.incapsula.com/pricing-and-plans.html
選擇網頁右下方的「Free Plan」註冊
Cloudflare WAF https://www.cloudflare.com/zh-tw/waf/
https://www.ithome.com.tw/news/129866Imperva Incapsula https://www.incapsula.com/pricing-and-plans.html
選擇網頁右下方的「Free Plan」註冊
Cloudflare WAF https://www.cloudflare.com/zh-tw/waf/
https://www.ithome.com.tw/news/129457
沒有留言:
張貼留言