开源软件政策在没有开源的情况下会更好

目前还没有读者喜欢这个。
Open Data Policy
图片来源:

Opensource.com

这是一个有趣的实验(如果你像我一样是个超级书呆子):从你的机构、公司或其他任何地方拿出一个开源政策,然后划掉“开源”这个词。 砰,你现在就有了一个更明智和更合理的“软件”政策。

当 OMB 和 DOD 宣布开源软件为“商业软件”时,这并不是一种使开源合法化的官僚伎俩。 他们是完全字面意义上的意思:软件就是软件,无论是通过开源、一家专有公司还是一个猴子团队开发的,所有相同的规则都适用。 因此,如果您正在编写“开源软件政策”,为什么不顺便为其余的软件世界编写一个政策呢?

让我们以 IRS 的开源软件使用指南为例。 这里面有一些好东西,也有一些早已被驳斥的神话。 所有这些都可以通过划掉“开源”这个词来解决,将文档变成“软件政策”而不是“开源软件政策”。

让我们开始吧

开源软件虽然在许多情况下可能很有用并且看起来具有成本效益,但可能会带来安全风险,因为开源开发人员在开发软件时通常不遵循安全最佳实践。

当我读到这句话时,我惊掉了下巴。 我们可以争论开源是否是更安全的软件开发模型(事实确实如此,只需问问 Bruce Schneier),但我们不能概括地宣称开源开发人员“通常”不太关心安全。 这太傻了。 一些经过最多审查、最安全的软件是开源的。 一些最优秀的的安全头脑是开源开发人员。

此外,专有软件并非神奇地更注重安全。 专有开发人员可能很马虎,公司可能开发实践很差,而且一个不良行为者为专有软件公司工作与为开源项目做贡献的可能性一样大。

考虑到这一点,我们可以删除“开源”这个词,这句话突然变得合理得多。

此外,开源软件的支持并不总是由供应商提供,并且开源供应商在响应已识别的应用程序缺陷并提供安全修复程序时可能反应迟缓。

我为一家开源软件供应商工作,这对我是新闻。我们的记录实际上非常出色。 我没有看到任何证据,也想不出任何合理的理由可以解释为什么开源供应商作为一个整体在识别和响应软件缺陷方面会更慢。 同样,这样的概括很愚蠢。

不过,潜在的担忧是有效的。 不受支持的软件存在风险。 支持不力几乎更糟糕——想想我们都浪费在不合格或反应迟钝的支持操作上的时间。 这并非开源独有。 不良支持就是不良支持,无论软件是如何开发的。

再次,删除“开源”,这变得更加准确,而且减少了很多恐慌。

此外,许多开源软件产品都是开放社区的一部分,该社区允许任何人贡献更新和错误修复,这并非总是以安全为出发点,因此验证版本的责任在于分发渠道。

我开始称之为“维基百科神话”。 这个条款听起来好像开源软件可以被任何拥有电子邮件地址的人自由编辑。 任何使用过开源软件的人都知道,情况显然并非如此。 开源社区拥有完善的代码审查系统,可以与专有开发商店的系统相媲美。

不过,再次强调,潜在的担忧是有效的,补救措施也是明智的。 如果您担心软件的完整性,您应该从您信任的人那里获取软件。

在决定采购开源软件时,机构应寻找将提供软件支持的公司,并考虑如果无法获得软件供应商的直接支持,可能需要支付第三方费用以通过发布安全补丁和错误修复来支持软件的成本。

这个条款很有道理。 您不想运行不受支持的软件。 您希望能够致电某人告诉他们问题,并且您希望他们及时回复。 作者想到了开源,但对于专有软件的需求同样强烈。 如果您的专有供应商倒闭了怎么办? 如果他们被收购了怎么办? 如果产品停产了怎么办? 同样,问题和补救措施同样适用于专有软件,也适用于开源软件。

该机构还应考虑开源软件遵守 IRS Publication 1075 安全要求的能力。 例如,任何将传输联邦税务信息 (FTI) 的软件都必须使用通过 NIST 密码模块验证计划 (CMVP) 验证的符合 FIPS 140-2 标准的加密模块来加密 FTI。 

这是另一个有道理的条款。 国税局对 FIPS 140-2 等安全认证有不可协商的需求,任何软件都必须符合这些要求。 这对于专有软件和开源软件都是如此。

IRS Safeguards 建议任何考虑在开源软件中使用 FTI 的机构都应效仿 IRS 在内部使用的 IRS 政策来管理开源软件的使用。 《内部收入手册》(IRM 10.8.1.4.4.1) 中的 IRS 政策规定,如果符合以下条件,则可以将开源软件安装在 IRS 系统上——

  • 合法许可的软件
  • 经 IRS 现代化和信息技术服务 (MITS) 批准
  • 遵守来自政府、行业或软件供应商的安全配置基线清单

同意! 实际上很有趣的是,一旦你了解了所有这些关于开源的担忧,实际的政策只要求你遵守许可条款,正确配置它,并获得 IT 部门的批准。 就像专有软件一样。

这是“去开源化”版本,我认为读起来好得多

开源软件,虽然在许多情况下可能有用并且看起来具有成本效益,但可能会带来安全风险,因为开源开发人员在开发软件时通常不遵循安全最佳实践。 此外,开源软件的支持并不总是由供应商提供,并且开源供应商在响应已识别的应用程序缺陷并提供安全修复程序时可能反应迟缓。 此外,许多开源软件产品都是开放社区的一部分,该社区允许任何人贡献更新和错误修复,这并非总是以安全为出发点,因此验证版本的责任在于分发渠道。

在决定采购开源软件时,机构应寻找将提供软件支持的公司,并考虑如果无法获得软件供应商的直接支持,可能需要支付第三方费用以通过发布安全补丁和错误修复来支持软件的成本。

该机构还应考虑开源软件遵守 IRS Publication 1075 安全要求的能力。 例如,任何将传输联邦税务信息 (FTI) 的软件都必须使用通过 NIST 密码模块验证计划 (CMVP) 验证的符合 FIPS 140-2 标准的加密模块来加密 FTI。

IRS Safeguards 建议任何考虑在开源软件中使用 FTI 的机构都应效仿 IRS 在内部使用的 IRS 政策来管理开源软件的使用。《内部收入手册》(IRM 10.8.1.4.4.1) 中的 IRS 政策规定,如果符合以下条件,则可以将开源软件安装在 IRS 系统上——

  • 合法许可的软件
  • 经 IRS 现代化和信息技术服务 (MITS) 批准
  • 遵守来自政府、行业或软件供应商的安全配置基线清单
标签
政府
Gunnar Hellekson
User profile image.
我是 Red Hat 美国公共部门集团的首席战略师,我在那里与系统集成商和政府机构合作,鼓励在政府中使用开源软件。 我是 Open Source for America 的创始人之一,Federal Computer Week 2010 年 Fed 100 之一,并且我被评为 FedScoop 50 行业领导者之一。
更多关于我

4 条评论

Avatar
未具名 | 2012年12月1日
目前还没有读者喜欢这个。

嗯,你也可以删除“开放社区”这个词,换成软件供应商。 另外,为什么不用“商业软件”代替“开源”呢? 更有意义。

此致。

Avatar
Curtis Veit | 2012年12月2日
目前还没有读者喜欢这个。

完全正确,他们只需要一个“软件”政策。 举个例子,当我在一家航空航天公司工作时,有几起事件突显了您所说内容的重要性。
首先,考虑到代码托管协议,我们有两起案例本应受到我们协议的保护。 其中一个案例是另一方购买了陷入困境的公司的 IP,并禁止代码转让,因为他们声称他们会提供支持。 他们没有这样做,我们从未获得代码。 第二起事件,我们获得了代码,但需要神奇的构建知识,我们实际上无法构建软件。

在考虑供应商支持时,要知道拥有真正的“商业供应商”并不等同于实际支持。 我们正在使用一家主要供应商的 RTOS,并且以太网堆栈中存在一个严重错误,该错误会导致机器频繁崩溃(在运行生产周期可能长达半天的生产机器上)。 我们无法完成生产周期,数百万美元的投资变得毫无价值,直到机器能够运行。 我们确实找到了一个解决方法,通过禁用部分功能来让我们运行。 这很幸运,因为供应商
a. 拒绝承认该错误存在了四年,尽管有完整的文档,包括准确显示错误发生位置的跟踪记录。
b. 在他们承认错误后,又花了 4 年的时间才真正修复该错误。

在任何情况下,我们一直发现,任何软件采购分析都应包括风险缓解部分。 这似乎是显而易见的,但在“真实”商业世界中经常被忽略。 在我的分析中,开放和自由源软件被认为是强大的风险缓解因素。 在使用开源的项目中,我们从未像使用“专业/商业”供应商时那样“陷入困境”。

很棒的文章!

Avatar
网页设计 | 2012年12月17日
目前还没有读者喜欢这个。

谢谢

您的博客内容丰富且重要

<a href ="http://www.trustdeal.in">软件开发公司</a>

Avatar
Entente Software LLC | 2012年12月28日
目前还没有读者喜欢这个。

由于遵守软件许可(无论是开源还是商业许可)对于任何组织都至关重要,Entente 开发了一个托管许可跟踪系统 <a href="http://www.ententesoftware.com">IPCompass</a>,该系统跟踪您所有入站组件的许可和使用详细信息。

相关内容

Creative Commons License本作品根据知识共享署名-相同方式共享 3.0 未本地化许可协议获得许可。
© . All rights reserved.