免费开源软件的潜在安全风险 (免费开源软件有哪些)

教程大全 2025-07-08 20:04:53 浏览次

Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛调查和深入研究，得出了有关企业内常用的免费开源软件(FOSS)的一些重要结论与潜在安全风险。

研究人员发现，由于缺少针对FOSS组件的标准化命名方案，企业和其他股东难以快速、准确地识别可疑或易受攻击的组件。

其次，他们还发现，需要更加安全地保护开发人员的账号，那些积极为某些广泛部署开源软件做贡献的人员。第三个发现是，与其他较旧的硬件或软件技术一样，开源社区中的旧版软件包日益危险。

《哈佛商学院》的合著者Frank Nagle教授说：“ FOSS组件几乎是所有其他软件的基础，无论是开放的还是专有的，但我们对软件的常用性或安全性信息知之甚少。考虑到了免费开源软件可能对经济产生的影响，但却很少人考虑到支持和维护这一核心基础架构的系统性工作。”

在这项研究中，Linux基金会和哈佛大学的研究人员分析了企业软件的使用数据，这些数据由软件合成分析公司和应用安全公司提供，例如Snyk和Synopsys网络安全研究中心。在确定常用的开源软件时，研究人员考虑了FOSS软件包或组件与其他企业应用程序和系统之间可能存在的从属关系。

目的在于确定和衡量企业环境中常用的FOSS，了解该软件的安全性等。FOSS组件几乎占企业当前正在使用的所有应用程序的80%至90%。尽管许多FOSS项目有接受安全检查，但是很多还没有。

研究人员在本周发布的一份报告中说，在诸如OpenSSL之类的有小部分贡献者基础的常用项目中，漏洞通常会被忽略。随着对FOSS的依赖日益增长，政府、研究人员和组织通过审核、漏洞赏金计划、黑客马拉松和会议更好地了解开源软件的来源和安全。Nagle说：“第一步是要真正了解企业所依赖的FOSS组件。无论是通过定期的安全扫描和代码审计，还是通过其数字产品采用的软件材料清单。”

顶级项目和顶级风险

Linux基金会与哈佛大学创新科学实验室的联合研究表明，企业内10个最常用的FOSS软件包是async，inherits，isarray，kindof，lodash，minimist，native，qs，readable-stream和string-decoder。研究人员还确定了最常用的非JavaScript程序包，其中包括com.fasterxml.jackson.core：jackson-core，com.fasterxml.jackson.core：Jackson-databind，com.google.guava：guava和commons -codec。

在确定了最重要的项目之后，研究人员着手寻找这些项目中最活跃的贡献者，并确定了其中约75%的公司从属关系。在研究过程中，研究人员发现，最常用的七个开源软件项目中的七个托管在开发人员个体账号上，其安全性比企业账号更弱。报告警告说：“个体账号的开发人员控制和更改代码非常容易实现，无需检测即可进行。”

此外，根据研究人员的说法，对开发人员个体账号的攻击正在增加，利用账号接管、后门和其他恶意代码等实现代码访问的风险越来越大。Nagle说：“如果这类个人账号的存储库支持的话，可以执行两因素身份验证。”

个人账号控制的常用FOSS的另一个风险是开发人员，他们有删除账号或删除有争议和分歧代码的决定权。Nagle指出：“更广泛和长期的解决方案是，将此类项目转移到企业账号，而不是由个人账号控制，这有助于增强项目的归责性和将来的可用性。”

研究表明， FOSS组件需要有更好的命名规则。Nagle表示，由于FOSS可以自由修改和复制，因此可以有多个版本，分支和类似名称的存储库。为了进一步确保安全，重要的是对正在使用的FOSS组件情况以及支持和维护工作有个共识。

研究人员的另一个发现是，与旧版不受支持的软件或硬件版本一样的是，旧版开源组件也面临风险。例如，Nagle指出了常用的PuTTY SSH软件的0.70版，该软件于2017年7月发布。将近两年后，直到2019年3月该软件的更新0.71版才发布。像这样常用软件的更新和检查就可以解决存在于代码库20多年的安全问题了。”

ubuntu比较好还是fedora比较好

Ubuntu当属Linux王国之君，而Fedora则提供了另一条通向自由的道路. 有一段时间Ubuntu是有点自命不凡：一个新的Linux发行，吹嘘的要比实际拥有的多。晚至2004年Ubuntu被推出，它的成长之路上有着一系列历练多年的对手：Red Hat, Fedora, Suse Linux和Mandriva(当时还被称作Mandrake)。那些可都是有着各自忠实粉丝和独有特性的成熟的发行。 Ubuntu，基于Debian操作系统，有着坚实的基础，而却在成为规划中的用户友好操作系统之路上任重而道远。六年里，Ubuntu达成了自己的愿望。对很多用户来说，它成了他们Linux之旅最完美的入口点。对其也人，它提供了他们对其它操作系统所期待的稳定性。它也有了一个庞大的追随者群，及Linux市场上最有力的声音。 Linux市场在变化着。如此一来，给了被信任着的老操作系统再度浮出水面的机会。它们之中，就有持续提供给用户异于Ubuntu的另一条自由之路的Fedora。开源之最不同于Ubuntu致力于尽可能做到用户友好，Fedora以比大多数Linux发行更具实验性著称。作为Red Hat 的社区版，Fedora是它商业大哥的测试床。诸如新文件系统、新虚拟化技术以及其它许多的技术都在被完善与并入Red Hat之前在Fedora上测试过。但是Fedora不仅仅只是Red Hat的一个实验床而已。它也是本身一个独立的操作系统，而且是一个高品质的操作系统。 Ubuntu 和Fedora 的不同主要表现在它们通向它们最终产品的途径不同。 Ubuntu的途径是想打造一款替代Windows的简单易用的桌面。然而，为任何急于离开 Windows的人而设计，意味着它又不可能做成Windows的克隆。在这点上，Ubuntu显然很成功。 Fedora，走在另一条路上，努力做成一个提供自由开源软件世界目前能提供的最优特性的操作系统。它一贯包含了其它发行认为太具实验性而不合用的软件，并以某种方式设法提高了它们的稳定性。在过去的一些年里，相比其它发行，Fedora始终如一地让自己的特性贴近前沿。 KVM之类的技术最先就是在早期Fedora版本上测试改进过的。今天，KVM被广泛应用于大多数发行上了。同样地，对BTRFS（Linux新一代文件系统）的支持，很早就加进了Fedora的开发规程当中。现在大多数的发行也都有了对BTRFS的支持。 Fedora的“不稳定”在最新版延伸到了前沿特性如自动打印机驱动和语言包安装上。它也拥有服务于管理显示校准、用户和网络的先进的管理特性以及对使用开源软件的Nvidia驱动的实验性3D支持。 Fedora并不适合于每一个人。它引入最新软件到其发行的倾向让它令人兴奋，新学习曲线较长。这点会吸引高资历Linux用户，而不是新来者。对于想要瞧瞧开源软件所能提供的最好的体验是什么样子的的人，Fedora是算最好的旅程起点之一了。

联想乐Phone的系统是什么版本？乐OS 2.0是什么？

联想乐Phone的系统版本是采用基于Android操作系统的乐Phone OS 平台。 Android操作系统是谷歌开发的操作系统，OS即Operation System，号称第一款开源手机系统，扩展能力是前所未有的强大，据说这种系统的软件多达16万。而乐Phone的操作系统是在Android系统上进行的深度开发于2010年5月上市时乐phone的基础系统版本是Android的1.6版本，在系统改动不大的基础上，增加了一套完整菜单，包括UI界面美化等。 2011年初乐Phone的系统版本已经升级至OS 2.0版本，相当于Android 2.2版本，无论是操作的流畅性还是功能都有了很大的提升，而且现在乐Phone的价格在两千过点，再加上它的高配置，性价比还是非常高的，是一款值得购买的智能手机~~