专家视点

软件安全专家谈开源软件的更新问题

日期:2017-09-30

|  来源:【字号:

    

20179月,美国国家学术出版社发布了题为《将软件更新作为实现软件弹性和安全的机制》的报告。该报告是网络弹性论坛举办的一场研讨会的成果总结,其中,Linux基金会的首席技术官暨英国皇家工程学会会员尼克 索默伦(Nicko van Someren)分析了开源软件的更新问题。索默伦曾任Linux核心基础设施行动(CII)的负责人,CII的目的是改善开源软件的安全。  

与其他软件相比,开源软件的开发过程是碎片化的,参与人数要多于封闭软件开发团队。其次,代替以自上而下的管理推动规范制定的方式,开源软件的运作更注重合作精神及代码的运行。这种分布式、合作型模式加大了软件更新的复杂程度。开源软件通常分层堆叠组件,通过高度专业化满足用户的特定需求,因而难以实现透明性。这种深度分层堆栈的架构也让软件更新变得困难,因为必须对堆栈从底部到顶端的每一组件都进行测试。这种开发模式也意味着开源社区需要耗费更多的时间来识别软件漏洞并进行应对。  

来源:美国国家学术出版社    

  

附件: