表面上來看，開源軟件對于中小企業(yè)(SMB)似乎意義重大。因為開源軟件是免費的并且在網(wǎng)站上是可以自由使用的，可以幫助節(jié)省很大一部分預算。但重要的是，它理應要比現(xiàn)成的商業(yè)軟件要更安全。

　　但是開源軟件真的像它標榜的一樣安全嗎?

　　誠然，開源軟件的源代碼是開放的，全世界的開發(fā)者和軟件使用者都可以隨意地選擇使用修改這些源代碼。不過，像其對應的商業(yè)軟件一樣，開源軟件在安裝部署之前需要對其進行加固、修復和鎖定。

　　這里有五個要素可以幫助中小企業(yè)們保證其開源應用程序的安全。

　　軟件詳細目錄

　　如果你的公司還沒有建立軟件詳細目錄，那么好馬上去做一個。因為詳細目錄可以幫助你管理安裝在公司內(nèi)部的所有軟件。即使在一個小公司里，軟件應用程序的數(shù)量(開源軟件或者其他)都可能不受控制。購買的商業(yè)軟件可以保留發(fā)票作為記錄保存，而開源軟件卻可以任意地從網(wǎng)站下載下來后而不留下任何痕跡。

　　不僅應該保存記有開源軟件下載日期和時間的日志，并且在開源軟件被安裝之前還應該檢查其完整性。開源軟件配備了MD5 hashes或者GNU Privacy Guard簽名，可以通過他們來核實所下載的軟件是否完整完全。如果軟件沒有通過完整性檢查，需要重新下載，同時這些也應該記錄在日志中。

　　補丁管理

　　對開源軟件的補丁管理可能會很棘手，但是也很關鍵。發(fā)布周期和更新時間表往往不是同步的，這使補丁規(guī)劃很難進行，但是可以通過另外的途徑進行補丁管理。

　　對于擁有小型開源軟件基礎的中小企業(yè)來說，手工打補丁可能是便宜的選擇了(如果不是選擇的話)。對于Apache和Jakarta等有補丁定期發(fā)布周期但是不能像Linux系統(tǒng)一樣自動更新的開源產(chǎn)品，你需要手動檢查和運行他們的技術補丁。

　　對于較小的中小企業(yè)，還有另外一種選擇，是定期查看開源網(wǎng)站并通過腳本自動安裝更新程序。大部分系統(tǒng)管理員都可以編寫腳本，并且可以把腳本設置成在空閑的時候有間隔地運行---或者深更半夜的時候。

　　但是隨著中小企業(yè)的不斷發(fā)展，手動更新和腳本逐漸變得不實用的時候，可以考慮使用補丁管理工具了。不幸的是，大部分補丁管理工具都是和 Windows更新相連的。不過市面上有一些產(chǎn)品可以對開源軟件進行更新，包括，PatchLink update和Shavlik Technologies LLC公司的NetChk Protect。

　　網(wǎng)絡與防火墻的兼容性

　　開源軟件像所有軟件一樣，可能需要啟用特定的TCP端口接入因特網(wǎng)。但是在為開源軟件開啟端口的時候一定要確保沒有開啟你的網(wǎng)絡中的其他安全端口。

　　另外，開源軟件與你現(xiàn)有的網(wǎng)絡安全體系之間的兼容性也很重要。如果采用某個開源應用程序或者軟件需要對你的網(wǎng)絡體系作徹底改變，并且還可能危及網(wǎng)絡的安全時，你也許需要重新考慮該軟件是否適合你的公司并尋找其替代品。

　　訪問管理

　　在安裝任何開源軟件的時候，你應該立即改變所有默認安全設置來阻止黑客的侵入，他們經(jīng)常能記錄普通用戶的ID和密碼。

　　同時，如果可能的話，更新開源軟件配備的內(nèi)置訪問管理系統(tǒng)。例如，Apache使用的是基本身份驗證(basic authentication)和“摘要”式認證(digest authentication)---這些可以很輕易地被黑客攻破，以及使用了一個名為“htaccess”的文件提供密碼保護來限制對某些網(wǎng)站目錄的訪問。好不要單純的依賴這些，還應該很多更好的辦法來限制訪問，例如使用Apache的配置文件和安全模塊或者使用操作系統(tǒng)鎖定服務器本身。

　　測試和掃描

　　Fortify軟件公司和Ounce Labs公司的工具可以掃描軟件的漏洞，另外，SPI Dynamics公司的WebInspect和Watchfire公司的AppScan可以檢查出使用Apache或者其他開源軟件網(wǎng)站服務器的網(wǎng)站中的漏洞。

　　總言之，開源的確比對應的商業(yè)軟件要更安全，但是在對開源軟件進行安裝、配置和修復時，需要采取一定的措施保證這些過程的安全。資金和資源都非常有限的中小企業(yè)應該要比那些較大的公司更適合采用開源軟件，他們可以并且也應該這樣做。