近日“阿帕奇”可谓是在科技圈出了名,这个“阿帕奇”可不是大家所熟知的武装直升机,而是一个名为“阿帕奇(Apache)Log4j2组件”的严重代码安全漏洞。据了解“阿帕奇(Apache)Log4j2组件”是基于Java语言的开源日志框架,被广泛用于业务系统开发。工信部网络安全管理局指出,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
开源组件有他的好处,例如使用开源组件可以节省开发时间和公司成本,换句话说,用开源,省时省力省钱。而且大部分开源项目都是自由度很高的MIT或BSD开源版权,可以按需定制开发。但对于开源产品的安全性方面一直存在不小的争议。
# 人多力量大众多目光在关注
与闭源代码不同,开源代码不局限于少数开发人员,一些项目甚至可能有成千上万的开发人员监视代码、审查它们并标记或修复安全问题。相比之下,对于闭源代码,有限数量的开发人员可能无法发现各种安全问题。
# 解决安全问题更灵活
对于开源项目,贡献者社区可以优先考虑并分配他们想要从事的工作以及何时解决问题,而对于闭源项目来说,开发人员有一定的限制不能像开源项目那样让解决和修复安全问题的决策变得更加灵活。也就是说,使用开源代码的开发人员自由度更高,无需依赖供应商解决安全问题。
# “人多”但不“彻底”
即使有成千上万名开发人员可以访问代码,但不排除没有足够负责或是细心的开发人员去彻底审查全部代码。这就导致开源软件仅仅因为它的开源就声称拥有最好安全性的观点“站不住脚”。
# 没有责任承担者
正是由于开源软件谁都能访问,这就导致了无人承担安全责任的问题。这不是技术问题而是“人性”的问题。如果企业使用开源软件,他们必须为使用该软件造成的任何损失或损害承担责任。
作为一直秉持自主研发才能高质量创新的鹏云网络创始人、董事长陈靓博士认为,应该用辩证的思维去看待“开源”。首先我们不能否认开源代码对人类计算机发展所做出的的巨大贡献,但也不可忽视其确实存在的安全问题。这里的“安全”其实也有两层含义。一类是开源产品性能稳定的问题,这类问题可能会影响到用户的使用感受,损伤的是研发企业的信誉。另一类则更加严重,涉及到了信息安全的层面,而这类问题在当下是最“致命的”。
陈靓博士表示,自主创新不代表闭门造车,需要具备“取其精华,去其糟粕”的能力。希望越来越多研发人员,能承担起国家寄托我们的时代使命,多学习外部先进理念,将其融入我们的自主创新中,做出专属中国的开源社区,把安全问题带来的损伤降到最低。
目前,我国正处于迈向数字经济的关键时期,数据是新时代重要的生产要素,是国家基础性战略资源,软件研发既要“跑得快”更要“跑得稳”。鹏云网络作为自主创新软件科技企业,必将以身作则,在我国发展关键时期,担当新使命,奋进新征程。
长按关注鹏云
