从微软Office过渡到OpenOffice需考虑的安全问题

问：我所在的公司正在考虑从Microsoft Office过渡到OpenOffice。请问在此过程中，需要考虑哪些安全问题呢？

答：开源软件和商业软件哪个更安全，对这个问题的争论永远也不会停止。当然，在涉及到安全问题时，完善的开源项目（如Apache）完全可以与同等水平的商业软件相媲美，支持开源的人强调商业软件（如来自微软和Adobe供应商的商业软件）持续存在着安全漏洞问题。开源软件的开发人员认为，开发过程的开放性会导致更多的安全缺陷被捕获。然而，软件不会仅仅因为是开源类的就不存在缺陷。开源软件和商业软件或内部开发的软件一样，都面临着漏洞问题。

近日，OpenOffice.org发布了3.2版本，此版本修复了以前版本中存在的6个漏洞。这些漏洞可以被利用，从而执行任意的代码或者绕过认证保护。远程代码执行漏洞非常受黑客们欢迎，因为他们可以让用户打开电子邮件中的一个恶意文件，然后远程执行漏洞利用代码。OpenOffice.org 3.x有着超过1亿的下载量，这么大的用户基数已足以吸引恶意黑客们的兴趣了。

Fortify Software公司对2008年11款受欢迎的开源应用程序进行的一项研究表明，企业忽视了安全问题，从而低估了使用开源软件所带来的商业风险。一项研究发现，商业软件对漏洞的修复速度往往快于开源软件，因为商业软件厂商会面临更多的风险。针对这一点可以公开的进行讨论，不过可以肯定的是，一些开源项目确实是缺乏商业软件中的改变—控制（change-control）流程和测试工具。如果开发过程中缺乏安全流程，那么漏洞就会成为一个问题。Mozilla一直被认为是最重视安全的开源项目，但报告发现其它许多项目在设计和开发阶段并不具备有效的安全性。相反，许多商业软件公司采用了一种名为安全开发生命周期（Security Development Lifecycle）的方法对其产品进行了升级，其产品代码的漏洞数量也大大减少。

你在采用任一款开源软件之前，都必须进行风险分析和代码审查。要想真正了解应用程序的工作原理和应对事故的措施，你需要仔细阅读帮助文档。省下的软件许可费可以用来进行培训、支持和维护。用户必须接受适当的培训，因为新软件可能会以不同的方式实现类似功能。例如，OpenOffice往往不会像微软的Office一样，在用户打开一个宏命令时弹出很多用户警告对话框。如果应用程序引入了新功能（如文件共享），你就得对可接受的使用政策（包括如何以及何时使用这些功能）进行更新。

当开源软件运行出错时，没有相关人员可以帮助你。所以，你一定要确保能找到一个支持此软件的活跃论坛或小组，从这里你可以咨询一些问题并得到相关建议。另外，你还需要订阅相关新闻组（那种可以覆盖你所用的开源软件开发的新闻组）。 OpenOffice.org项目就有一个安全小组，通过专门电子邮件列表发布OpenOffice软件的安全警报。要订阅该列表，你只要发送一封空邮件到[email protected]即可。OpenOffice.org安全小组还会在其安全公告上发布安全漏洞的细节。

【编辑推荐】