软件安全技术课件：开源软件及其安全性

开源软件及其安全性本讲要点1.开源软件概述2.开源软件的知识产权3.开源软件的安全性反思验证4.应用案例1.开源软件概述（1）软件分类：商业软件（CommercialSoftware）免费软件（Freeware）共享软件（SharedSoftware或Shareware）闭源软件（ClosedSourceSoftware）或专有软件（ProprietarySoftware）自由软件（FreeSoftware）1.开源软件概述（2）开源软件的概念：开源软件的缘起自由软件基金会（FreeSoftwareFoundation）是开放源代码运动的领导者。开源软件的含义开源软件（OpenSourceSoftware，OSS），也称开放源代码软件，是由开放源代码促进会（OpenSourceInitiative，OSI）定义且提出的。开放源码促进会OSI对开源软件有着明确的定义，该定义共有10个条款，业界公认只有符合这个定义的软件才能被称作开源软件。1.开源软件概述（2）开源软件的概念：开源软件与自由软件的区别概念不同价值观不同1.开源软件概述（3）开源软件受到追捧的原因：创新能力的分享软件开发的便利软件质量的提高软件应用的广泛开源运动思想的传播2.开源软件的知识产权（1）开源软件涉及的主要权益：著作权专利权商标权2.开源软件的知识产权（2）开源软件的授权模式：1）GNU通用公共许可证（GNUGeneralPublicLicense，GPL）GPL是所有开源软件许可证中最严格的一种，对软件发布者的限制最大只要在一个软件中使用（“使用”指类库引用，修改代码或者衍生代码）GPL许可证产品，则该软件产品必须也采用GPL许可证，即必须也是开源和免费的，这就是所谓的“传染性”。这就是说，GPL不允许修改后和衍生的代码做为闭源的商业软件发布和销售。2.开源软件的知识产权（2）开源软件的授权模式：2）GNU宽通用公共许可证（GNULibraryor"Lesser"GeneralPublicLicense，LGPL）与GPL最大的不同是，允许非LGPL软件（如商业软件）链接到LGPL许可的代码。也就是说，采用LGPL许可证的开源代码可以被商业软件作为类库引用并发布和销售（但不能修改源码）。如果对LGPL许可软件的代码进行了修改或者衍生，那么用户若要发布修改后的版本，必须使用LGPL或GPL许可证。2.开源软件的知识产权（2）开源软件的授权模式：3）伯克利软件发布许可证BSD许可证只要求被许可者附上该许可证的原文以及所有开发者的版权资料。也就是说，只要标明了源代码的出处，被许可人可以将其用在自己的软件中，并按自己的要求（包括以商业软件的方式）再发布或再许可等。因此，BSD许可证在学校或公共科研机构研发的开源软件转化为产品方面发挥了重要作用。2.开源软件的知识产权（2）开源软件的授权模式：Mozilla公共许可证（MozillaPublicLicense2.0，MPL-2.0）要求修改代码后，必须继续提供源代码并同样以MPL许可证发行，必须提供对所有修改的说明并标明修改的日期，同时声明这些修改是直接或间接从原来的代码衍生出来的，并列出原作者。MPL许可证的效力并不作用于软件的全部源代码，允许一个软件上存在多种授权许可。软件的再发布者对自己提供的源代码可以以其他许可证发布，软件的再开发者还可以将自己的封闭源代码与以MPL许可证发布的软件结合后再发布，保持自己代码的封闭性。3.开源软件的安全性反思开源软件的安全性刚刚引起人们的重视长久以来开源软件安全被忽视的原因分析长久以来忽视开源软件的安全性问题。由于免费，开源软件的后续升级和维护受到资金限制。开源软件的检查机制不完备，缺乏专业性高、针对性强的测试理论和方法，并且检查人员的水平层次不齐。3.开源软件的安全性反思开源软件安全性解决之道提高对开源软件安全性的重视程度。重视软件安全开发。加大软件安全测试力度。及时处理漏洞，持续关