从微软Office过渡到OpenOffice需考虑的安全问题

安全
本文介绍了从商业软件(Microsoft Office)过渡到开源软件OpenOffice时需考虑的安全问题。

问:我所在的公司正在考虑从Microsoft Office过渡到OpenOffice。请问在此过程中,需要考虑哪些安全问题呢?

答:开源软件和商业软件哪个更安全,对这个问题的争论永远也不会停止。当然,在涉及到安全问题时,完善的开源项目(如Apache)完全可以与同等水平的商业软件相媲美,支持开源的人强调商业软件(如来自微软和Adobe供应商的商业软件)持续存在着安全漏洞问题。开源软件的开发人员认为,开发过程的开放性会导致更多的安全缺陷被捕获。然而,软件不会仅仅因为是开源类的就不存在缺陷。开源软件和商业软件或内部开发的软件一样,都面临着漏洞问题。

近日,OpenOffice.org发布了3.2版本,此版本修复了以前版本中存在的6个漏洞。这些漏洞可以被利用,从而执行任意的代码或者绕过认证保护。远程代码执行漏洞非常受黑客们欢迎,因为他们可以让用户打开电子邮件中的一个恶意文件,然后远程执行漏洞利用代码。OpenOffice.org 3.x有着超过1亿的下载量,这么大的用户基数已足以吸引恶意黑客们的兴趣了。

Fortify Software公司对2008年11款受欢迎的开源应用程序进行的一项研究表明,企业忽视了安全问题,从而低估了使用开源软件所带来的商业风险。一项研究发现,商业软件对漏洞的修复速度往往快于开源软件,因为商业软件厂商会面临更多的风险。针对这一点可以公开的进行讨论,不过可以肯定的是,一些开源项目确实是缺乏商业软件中的改变—控制(change-control)流程和测试工具。如果开发过程中缺乏安全流程,那么漏洞就会成为一个问题。Mozilla一直被认为是最重视安全的开源项目,但报告发现其它许多项目在设计和开发阶段并不具备有效的安全性。相反,许多商业软件公司采用了一种名为安全开发生命周期(Security Development Lifecycle)的方法对其产品进行了升级,其产品代码的漏洞数量也大大减少。

你在采用任一款开源软件之前,都必须进行风险分析和代码审查。要想真正了解应用程序的工作原理和应对事故的措施,你需要仔细阅读帮助文档。省下的软件许可费可以用来进行培训、支持和维护。用户必须接受适当的培训,因为新软件可能会以不同的方式实现类似功能。例如,OpenOffice往往不会像微软的Office一样,在用户打开一个宏命令时弹出很多用户警告对话框。如果应用程序引入了新功能(如文件共享),你就得对可接受的使用政策(包括如何以及何时使用这些功能)进行更新。

当开源软件运行出错时,没有相关人员可以帮助你。所以,你一定要确保能找到一个支持此软件的活跃论坛或小组,从这里你可以咨询一些问题并得到相关建议。另外,你还需要订阅相关新闻组(那种可以覆盖你所用的开源软件开发的新闻组)。 OpenOffice.org项目就有一个安全小组,通过专门电子邮件列表发布OpenOffice软件的安全警报。要订阅该列表,你只要发送一封空邮件到alerts-subscribe@security.openoffice.org即可。OpenOffice.org安全小组还会在其安全公告上发布安全漏洞的细节。

【编辑推荐】

  1. Office 2010带给我们的五个安全教训
  2. OpenOffice修补三漏洞称曝光不会损害商誉
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2020-11-20 10:29:37

云计算边缘计算物联网

2011-09-07 15:57:18

2020-12-17 13:12:06

数据中心DCIMDMAAS

2018-04-04 13:42:54

2023-06-01 11:35:42

Ubuntu操作系统

2013-11-20 09:22:44

IPv4过渡IPv6

2010-04-02 13:15:51

2021-01-07 10:15:24

数据中心边缘数据中心网络

2015-06-10 13:20:00

2014-07-22 09:45:21

2014-07-22 10:03:12

2011-01-13 10:06:20

IPv6IPv4

2021-10-11 08:37:14

鸿蒙HarmonyOS应用

2021-01-15 10:28:19

数据中心边缘数据中心

2015-05-18 09:42:26

2022-11-21 18:00:26

GraphQLAPI开发

2024-11-26 00:40:05

2012-11-20 10:47:16

2019-10-29 10:52:40

nftables防火墙开源

2013-12-25 10:09:46

网络·安全技术周刊
点赞
收藏

51CTO技术栈公众号