开源代码以更低的成本推动了来自更大开发者群体的协作创新,这就是联邦机构采用“开源优先”模型的原因。事实上,美国总务管理局首席信息官 Sonny Hashmi 最近宣布,实施开源软件是今年他的首要任务之一。
那么,提高您的机构采用开源软件并保持其安全的最佳方法是什么?以下是帮助您实现目标的六个技巧
1. 标准化通用平台。
想象一下,陆军告诉新兵在前往新兵训练营的路上顺便去枪店,挑选他们想要的任何步枪。您可以想象这会在训练一致性、互操作性和后勤方面造成混乱。
相同的原则可以应用于设计数据中心。大多数开发人员都希望使用最新的工具,但这种愿望与运营团队的目标相冲突,运营团队希望提供一致、标准化、稳定和安全的基础来构建。
例如,使用 软件集合(企业 Linux 工具的存储库)使两个团队都受益,它提供了最新的稳定数据库、开发工具和编程语言,让开发人员感到满意,同时以一致、标准化、稳定和安全的方式对其进行打包,从而提高运营团队的功能和效率。
2. 使用系统管理工具自动化您的成功。
一旦您实现了标准化,您就可以实现自动化。系统管理工具将把数据中心从手工工坊转变为高产出的 IT 工厂。通过将标准系统连接到集中管理工具,一个通用的仪表板将实时显示系统的状态以及是否需要安全补丁或错误修复。就像大型工厂的运营控制一样,这些工具可以确保数据中心工厂为其最终用户顺利运行。
3. 使用 SCAP 持续监控您数据中心的安全态势。
因此,您刚刚安装了一些开源软件。您如何正确地保护它?幸运的是,安全内容自动化协议(SCAP)将安全策略从人工解释的散文转换为机器可读、明确的 XML。过去,SCAP 扫描仪只能从专有公司获得。今天,像 OpenSCAP 这样的开源工具可以免费获得,内置于许多操作系统中,并已获得美国国家标准与技术研究院的 认证。通过将 OpenSCAP 与系统管理工具相结合,IT 专业人员可以频繁运行大规模自动化扫描,从而确保数据中心的效率和安全性。
4. 掌握供应商漏洞数据库和工具的导航,以最大限度地减少漏洞窗口。
当数据中心容易受到安全漏洞攻击时,需要立即修补攻击窗口。最好的方法是选择与 CVE 官方兼容的软件,CVE 是一组公开已知的安全漏洞和暴露的标准标识符。
当漏洞被识别时,它会被分配一个 CVE 编号。这为多个供应商提供了一个单一的标识符,以一致且可衡量的方式确定其漏洞。许多开源项目和社区并未持续跟踪 CVE,但一些将这些项目商业化的公司会这样做,因此请明智地选择。
除了跟踪 CVE,管理员还可以使用 OpenSCAP 进行漏洞扫描。OpenSCAP 可以使用开放漏洞评估语言(OVAL)内容来 扫描系统中的已知漏洞,其中提供了修复程序。诀窍是确保您选择的 供应商持续提供 OVAL 内容,因此,再次强调,请明智地选择。
5. 使用政府认证的软件。
仅仅因为代码是开源的,并不意味着它没有获得政府认证。就像商业支持的专有软件一样,商业支持的开源软件也可能符合政府认证,例如 FIPS 140 加密标准和 通用准则。
如果您的团队正在编写自己的密码学,请让他们停止。他们不仅需要让代码通过漫长而昂贵的认证过程,而且他们的代码可能没有经过公众审查并由实验室认证多年的代码安全。
使用 FIPS 认证的密码学库来编写应用程序,无需您自己获得 FIPS 认证。认证的密码学库让开发人员站在已经完成认证工作的巨人的肩膀上。
6. 让供应商站在您这边。
向 10 位 Linux 管理员提出一个问题,您可能会得到 11 个答案。也许是 12 个。哪个是对的?当在网上搜索问题时,问题甚至更糟,有些答案实际上可能弊大于利。
通过与商业供应商合作,您不仅可以从他们的产品知识中受益,还可以从他们与其他可能已经解决了您遇到的相同问题的客户的经验中受益。此外,当涉及到开源时,您可以自己向项目中添加功能,但这需要时间、精力和影响力。通过与作为开源社区贡献者的供应商合作,您的声音可以被放大,并且可以更快地实现改变。
有了这些技巧,引入开源代码不必是一个令人生畏的过程。开源软件可以像专有软件一样安全,并且具有更大的优势。软件的低成本和协作性质允许更快和更实质性的创新,从而提高整个机构的效率。
1 条评论