歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
Open Source的更新管理
2005 / 09 / 05
王婉伶
更新修補程式是維護任何系統或應用軟體安全性的第一步驟,連開放原始碼的Linux系統也不例外,開放原始碼的好處在於任何組織或程式開發人員只要有興趣皆能取得程式的原始碼進行開發,當然所有的程式碼撰寫並無法做到百分之一百的安全,而開放原始碼又是如何進行更新修補程式呢?
然而再安全的系統還是會有漏洞產生,此時更新修補程式就成為安全防護的第一道防線,開放原始碼的Linux面對來自不同開發人員/團隊的開發方式裏,如何做到系統套件的更新修補呢?台灣網威股份有限公司(Novell)資深技術經理簡兆宏表示,Novell旗下有一SUSE的開發團隊,從1993年開始,便開始從事Linux系統開發工作。SUSE所扮演的其實是溝通的角色,主要是政府機關、企業、客戶、硬體及軟供應商和開放原始碼研發人員及社群。希望能降低客戶的TCO及讓客戶容易部署和維護。
安全從頭開始做起
SUSE在開發Linux系統的第一步驟會先訂好版本及所需功能,再由全世界數十萬個開放原始碼的開發套件中挑選需要的功能套件,SUSE針對所需要的套件,檢查每個套件程式碼的漏洞,平均大約會產生6000條以上的修補程式,然後在各種平台上(如x86、Intel 64、AMD64等)建立適用的版本,在各種平台上所產生的問題也不同,因此完全以人工的方式來運作,這也是SUSE對於安全品質的要求。最後經過一些軟體的安全測試方完成最後的企業版本,而每個企業版本的維護時間是5年。
當工程師寫完一修正程式,便會將其送入AutoBuild的機制,自動進行測試、封裝,若中間過程出現問題會立即回報,工程師會再立即進行修改,由於中間過程都自動化來運作,所以當其發現漏洞到完成Patch測試,傳送到客戶手中,最少僅需要1.5個小時,即可完成修補更新。
SUSE同時也會維繫所有開放原始碼的開發者,其可能是組織(如Apache)或個人(如Samba),當發現其程式有漏洞同時也會通知開發者進行修改。同時還會定時的監看所有的Security Information Channel並做回報.。匯整之後,在提出的解決方案中會發佈所有安全的漏洞、不符安全事項或安全規則等,接著公佈其修補程式並更新。最後會將其程式送出進行安全認證(如CC-CAPP/EAL等)。
Linux的安全挑戰
開放原始碼最大的挑戰在於,開放原始碼因其開放的特性,所以有許多不同的研發團隊,每一研發人員/團隊的開發方式各有巧妙不同,所以也較難掌控其品質,故發表的版本一定會有不同程度的瑕疵,而這一部份也是外界對開放原始碼一直存在的質疑,然而SUSE便是在彌補這方面的缺失,SUSE會去檢查其撰寫完成之程式碼,並依安全的原則來進行修改,藉以保障其提供的系統的安全品質。
Linux更新工具
SUSE Linux同樣上也有更新管理工具YaST,其為系統的控制台,可控制整個系統的軟硬體資訊,YaST裏的online update(YOU)機制,會到SUSE的Download Site抓取更新的安全修補程式,在下載安裝前會自動檢查及比對系統內所需或已安裝套件,根據既有的修補程式套件,去判斷出還需要那一版本的修補程式套件,再下載所需修補程式套件做自動更新。
結論
世界上沒有百分之一百的安全,包含開放原始碼的Linux系統也是,所以更新修補程式就是保障其安全性的第一道防線,而由於其開放的特性,其漏洞的修補也獲得來自各方擁護者隨時的檢視及修改。但安全的執行畢竟還是以人為本,倘若人們無法適切的應用,仍會造成安全性的問題。
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.07.23
數位轉型下,企業的資安策略
2025.08.05
【2025 資安趨勢講堂】系列研討會
2025.08.08
網站滲透
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
Linux 基金會推出 Agent2Agent 協定,實現智慧型代理程式間的互通性
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
資安人科技網
文章推薦
報告:開源惡意軟體暴增近2倍 攻擊者鎖定開發人員竊取憑證
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Ruckus Networks 網路管理設備存在多個未修補的嚴重資安漏洞