开源、开放与安全
(2010年12月) 文/江海客
本月,金山网络宣布部分产品开源,并按照预订的计划路线图逐步公开了漏洞修复等功能模块的代码、公开了云查杀接口。
Windows平台软件,特别是安全软件,选择开源的相对较少,这可能与Windows本身的封闭性有关。尽管有开源的呼吁,但微软目前也只是进行针对一些国家政府机构的代码托管,相关代码是不含加密认证等模块的不可编译代码。站在公共信任的角度,源码开放是一种公众审核机制,而代码托管则是第三方审核机制。因此,相比于Windows的代码托管策略,开放源码的Linux在开放性上获得了更好的口碑和认同。
国内安全界对开源的感情十分复杂。在中国信息安全企业起步的过程中,对IPtable、Snort、Nessus、FreeS/WAN等开源软件的学习和借鉴无疑降低了技术门槛;但技术门槛下降导致人人皆可为之而又不思进取的小厂商林立,把汉化包装成自主原创、同时又不遵守开源许可协议的情况十分普遍。
当然开源的问题也是明显的,从安全风险来看,二进制可执行文件面临的风险主要来自逆向分析、错误注入和一些条件构造,但源代码开放后则面临可能被攻击者进行源码级漏洞挖掘的风险。此外,病毒检测的机理如果被公开,就会有更多病毒制造者学会绕过反病毒机制,或许这也就是金山对云查杀只开放了接口的原因。
但开源如果为主流厂商所引导,就会有很大不同。金山开源应该是在当前国内反病毒桌面竞争的一个胜负手,其对产业的深远影响还需要进一步观察和评估。但可以肯定,对于网络安全爱好者和相关专业的学生,他们有了更多可以参考的范本。同时,也需要提醒安全领域专家学者们,今后在国家科研项目审查中,即使是Windows平台,也要防备有人盗用开源代码应付了事——过去,专家们揪出过很多的Snort马甲、ClamAV马甲,现在来看还会出现金山马甲。最后,还希望金山意识到开源不只是厂商开放代码给大家用,能形成一个对代码开放、共建、共享的体制、让更多人交互的参与,才是开源的精髓。
美国国家标准技术研究协会(NIST)对下一代哈希算法SHA-3的开放式甄选已经到达最终冲刺阶段。从2008年64个算法参选、51个进入第一轮开始,经过长达两年的两轮甄选后,本月有 5个算法进入了最终的决赛名单。它们是BLAKE(瑞士)、Gr?stl(Graz理工大学和丹麦理工大学合作)、JH(伍宏军,新加坡华裔学者)、Keccak(Belgian Daemen团队)和Skein(Bruce Schneier团队)。2012年,我们就将知道SHA-3花落谁家。值得回味的是,MD6在去年退出了,被称为优雅的转身。从DES到AES、从SHA-1到SHA-3,美国这种开放的态度、制定规则的先见,从容地使全世界数学精英为其打工。
新漏洞:
国家信息安全漏洞共享平台(CNVD)发布了48期漏洞通报,共收集、整理信息安全漏洞103个,其中高危漏洞29个、中危漏洞22个、低危漏洞52个。上述漏洞中,可利用来实施远程攻击的漏洞有93个。经跟踪发现,网上已经出现针对“Enano CMS SQL注入漏洞”、“Microsoft Internet Explorer CSS解析远程拒绝服务漏洞”、“Freefloat FTP Server 'USER'命令远程缓冲区溢出漏洞”等的零日攻击代码。
详见:http://www.cnvd.org.cn
新闻:
关于SHA-3算法遴选更多信息可以参见:
http://www.h-online.com/security/news/item/NIST-s-search-for-the-super-hash-just-five-candidates-left-in-SHA-3-final-1151325.html
新产品:
安天发布免费数据恢复工具
http://www.antiyfx.com/a-recovery.html
分享到:
相关推荐
厘清当前开放指令集与开源芯片的发展态势,梳理开源芯片生态与芯片敏捷开发现状与未来面临的挑战与机遇,中国开放指令生态(RISC- 1简称“ RISCRISCRISCRISC-V中国联盟 ”,英文简称 英文简称 CRVACRVACRVA ,官方...
特别是最新成果(截㠩 2020 年 5 月),ਃ映 AI 开源开放的最新䏁势,䘑一步 䱆明开源开放对 AI 发展的䠃㾷作用和意义,为包括政府䜞䰞在内的㺂业各方推 动 AI 开源开放提供参㘹借䢪。最后,㕌写组总结目前国内开源...
大数据治理与安全从理论到开源实践
公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。目前产品已在多家头部互联网及金融公司成功应用落地。 核心能力 代码安全检测:识别您代码项目中存在的开源组件...
2019年开源代码安全和风险分析讲解。开源组件代码安全威胁成为智能设备安全风险的又一大挑战,关注和了解安全风险。
上海交大&机器之心-激活AI创新之源——人工智能开源开放发展报告-2020.7-65页精品报告2020.pdf
开源安全信息管理系统,开源安全信息管理系统
坚定开源开放原则筑成新一代人工智能.pdf
由上海市经信委指导,上海交大、机器之心联合研究,2020年7月发布,篇幅65页。本报告是在对国际国内AI开源开放发展深入广泛调研基础上,结合权威部门和机构的相关资料和数据,通过梳理人工智能开源开放发展现状,对...
新一代人工智能开源开放平台OpenI.pdf
开源软件源代码安全缺陷分析报告
2021年开源软件供应链安全风险研究报告.pdf
开源软件的网络安全问题——以开源协议与进出口监管的冲突展开.pdf
2020年10月16日,中国开源产业的年度峰会——2020云计算开源产业大会(2020 OSCAR)在北京盛大召开。本次大会由中国信息通信研究院主办,云计算标准和开源推进委员会承办,云计算开源产业联盟,金融行业开源技术应用...
[安全防御]后APP时代-淘宝移动中台技术开源开放探索 安全管理 身份管理 安全方案与集成 系统安全 法律法规
4-1 开源开放的知识图谱工具和数据生态
二是开源代码和软件安全漏洞收集与管理分散,社区对安全漏洞管理没有十分重视。三是无意行为与恶意行为并存。开发者可能源于粗心的编程或使用“不安全的”开发工具开发开源项目并发布在社区内。
20210218-开源证券-计算机行业深度报告:云安全专题报告,网络安全的未来在云端.pdf
信息安全竞赛项目_基于开源情报机器人的社交网络诈骗监测与预警系统.7z信息安全竞赛项目_基于开源情报机器人的社交网络诈骗监测与预警系统.7z信息安全竞赛项目_基于开源情报机器人的社交网络诈骗监测与预警系统.7z...
国际安全研究开源大数据·全球网络安全事件报告频次统计(2009-2016年).pdf