WS DATA

这篇博文摘自 GovLoop 最近的指南“揭穿 7 个开源神话”。我们采访了十几位政府技术专家、立法者和其他专家，以揭穿常见的神话，并帮助您的机构根据事实做出有关使用开源的决策。要查看有关政府采用开源现状的其他神话、资源和事实，请在此处下载完整指南。

开源的一个普遍误解是它不安全。谣言是专有软件总是更安全。发布源代 台湾电话区号 码使攻击者能够针对软件构建高度针对性的攻击，并直接在代码中构建恶意软件。

以下是事实。

有些开源软件是安全的，有些则不安全——就像专有软件一样。那么你如何知道你想使用的开源软件是否安全呢？

“你可以评估它，”安全软件开发专家、曾参与制定国防部开源政策的戴维·惠勒 (David Wheeler) 表示。“OSS 的一个优势是你可以轻松对其进行更详细的评估，其他人也可以这样做。这并不意味着 OSS 是安全的，但它确实让你有更好的机会了解你的选择。”

开放源代码促进会公共政策工作组负责人黛博拉·布莱恩特 (Deborah Bryant) 表示，最大的误解之一是任何人都可以更改内核，即开源操作系统的核心。“这是一种非常严谨、结构化的方法，有一个守门人对任何代码的进入做出决定。”



因为每个人都可以查看代码，所以任何人都可以发现其中的问题（包括错误）并报告它们。

在国防部对开源软件的分析中，一个意想不到的发现是安全对开源软件的依赖程度。报告称，禁止开源软件将删除支持国防部网络安全的某些类型的基础设施组件。这还将限制国防部对强大开源应用程序的访问和使用专业知识，敌对团体可以利用这些应用程序帮助发动网络攻击。

国防部正在使用开源软件支持多项任务，包括北约的任务，即帮助阿富汗官员就如何重建该国提供建议。国防部的数字团队在不到四个月的时间内开发了该工具的测试版，并在 Code.gov 上发布了该项目。它使北约顾问能够密切关注谁接受了培训。

国防部团队将该软件安装在阿富汗的机密服务器上，然后将这个独立项目作为开源项目发布。假设北约任务中交换的所有信息都是机密和保密的，那么将该工具作为开源发布是否会构成国家安全风险？

简短的回答是：不。白宫高级技术顾问 Alvand Salehi 在 2017 年 5 月奥斯汀 O'Reilly 开源大会的主题演讲中表示，开源并不意味着泄露个人身份信息。这些信息不应该成为代码的一部分，无论它是否是开源的。

一些快速提示：

新开发人员通常熟悉开源软件，他们并不害怕它，而是希望使用它。
建立一个批准新开源项目的流程，否则您的团队将因实施而负担沉重，并被迫支持一次性项目。
如果您正在管理一个开源项目，请务必了解您所在部门的需求与软件所能提