問(wèn)：我所在的公司正在考慮從Microsoft Office過(guò)渡到OpenOffice。請(qǐng)問(wèn)在此過(guò)程中，需要考慮哪些安全問(wèn)題呢？

答：開(kāi)源軟件和商業(yè)軟件哪個(gè)更安全，對(duì)這個(gè)問(wèn)題的爭(zhēng)論永遠(yuǎn)也不會(huì)停止。當(dāng)然，在涉及到安全問(wèn)題時(shí)，完善的開(kāi)源項(xiàng)目（如Apache）完全可以與同等水平的商業(yè)軟件相媲美，支持開(kāi)源的人強(qiáng)調(diào)商業(yè)軟件（如來(lái)自微軟和Adobe供應(yīng)商的商業(yè)軟件）持續(xù)存在著安全漏洞問(wèn)題。開(kāi)源軟件的開(kāi)發(fā)人員認(rèn)為，開(kāi)發(fā)過(guò)程的開(kāi)放性會(huì)導(dǎo)致更多的安全缺陷被捕獲。然而，軟件不會(huì)僅僅因?yàn)槭情_(kāi)源類的就不存在缺陷。開(kāi)源軟件和商業(yè)軟件或內(nèi)部開(kāi)發(fā)的軟件一樣，都面臨著漏洞問(wèn)題。

近日，OpenOffice.org發(fā)布了3.2版本，此版本修復(fù)了以前版本中存在的6個(gè)漏洞。這些漏洞可以被利用，從而執(zhí)行任意的代碼或者繞過(guò)認(rèn)證保護(hù)。遠(yuǎn)程代碼執(zhí)行漏洞非常受黑客們歡迎，因?yàn)樗麄兛梢宰層脩舸蜷_(kāi)電子郵件中的一個(gè)惡意文件，然后遠(yuǎn)程執(zhí)行漏洞利用代碼。OpenOffice.org 3.x有著超過(guò)1億的下載量，這么大的用戶基數(shù)已足以吸引惡意黑客們的興趣了。

Fortify Software公司對(duì)2008年11款受歡迎的開(kāi)源應(yīng)用程序進(jìn)行的一項(xiàng)研究表明，企業(yè)忽視了安全問(wèn)題，從而低估了使用開(kāi)源軟件所帶來(lái)的商業(yè)風(fēng)險(xiǎn)。一項(xiàng)研究發(fā)現(xiàn)，商業(yè)軟件對(duì)漏洞的修復(fù)速度往往快于開(kāi)源軟件，因?yàn)樯虡I(yè)軟件廠商會(huì)面臨更多的風(fēng)險(xiǎn)。針對(duì)這一點(diǎn)可以公開(kāi)的進(jìn)行討論，不過(guò)可以肯定的是，一些開(kāi)源項(xiàng)目確實(shí)是缺乏商業(yè)軟件中的改變—控制（change-control）流程和測(cè)試工具。如果開(kāi)發(fā)過(guò)程中缺乏安全流程，那么漏洞就會(huì)成為一個(gè)問(wèn)題。Mozilla一直被認(rèn)為是最重視安全的開(kāi)源項(xiàng)目，但報(bào)告發(fā)現(xiàn)其它許多項(xiàng)目在設(shè)計(jì)和開(kāi)發(fā)階段并不具備有效的安全性。相反，許多商業(yè)軟件公司采用了一種名為安全開(kāi)發(fā)生命周期（Security Development Lifecycle）的方法對(duì)其產(chǎn)品進(jìn)行了升級(jí)，其產(chǎn)品代碼的漏洞數(shù)量也大大減少。

你在采用任一款開(kāi)源軟件之前，都必須進(jìn)行風(fēng)險(xiǎn)分析和代碼審查。要想真正了解應(yīng)用程序的工作原理和應(yīng)對(duì)事故的措施，你需要仔細(xì)閱讀幫助文檔。省下的軟件許可費(fèi)可以用來(lái)進(jìn)行培訓(xùn)、支持和維護(hù)。用戶必須接受適當(dāng)?shù)呐嘤?xùn)，因?yàn)樾萝浖�可能�?huì)以不同的方式實(shí)現(xiàn)類似功能。例如，OpenOffice往往不會(huì)像微軟的Office一樣，在用戶打開(kāi)一個(gè)宏命令時(shí)彈出很多用戶警告對(duì)話框。如果應(yīng)用程序引入了新功能（如文件共享），你就得對(duì)可接受的使用政策（包括如何以及何時(shí)使用這些功能）進(jìn)行更新。

當(dāng)開(kāi)源軟件運(yùn)行出錯(cuò)時(shí)，沒(méi)有相關(guān)人員可以幫助你。所以，你一定要確保能找到一個(gè)支持此軟件的活躍論壇或小組，從這里你可以咨詢一些問(wèn)題并得到相關(guān)建議。另外，你還需要訂閱相關(guān)新聞組（那種可以覆蓋你所用的開(kāi)源軟件開(kāi)發(fā)的新聞組）。 OpenOffice.org項(xiàng)目就有一個(gè)安全小組，通過(guò)專門電子郵件列表發(fā)布OpenOffice軟件的安全警報(bào)。要訂閱該列表，你只要發(fā)送一封空郵件到alerts-subscribe@security.openoffice.org即可。OpenOffice.org安全小組還會(huì)在其安全公告上發(fā)布安全漏洞的細(xì)節(jié)。