采用开源技术的好处_采用开源的6个技巧

采用开源技术的好处

开源代码以较低的成本推动了更多开发人员的协作创新，这就是联邦机构采用“开源优先”模式的原因。 实际上，总务管理局（General Services Administration）的首席信息官Sonny Hashmi最近宣布，实现开源软件是他今年的首要任务。

那么，增加代理商对开源软件的采用并保持其安全性的最佳方法是什么？ 以下六个提示可助您一臂之力：

1.在通用平台上进行标准化。

想象一下，陆军告诉新兵在训练营的路上停在枪支处，并挑出他们想要的步枪。 您可以想象在训练一致性，互操作性和后勤方面会造成的混乱。

设计数据中心时，可以应用相同的原理。 大多数开发人员都希望使用最新的工具，但这与运营团队的目标相冲突，后者希望提供一致，标准化，稳定和安全的基础。

例如，使用Software Collections （企业Linux工具的存储库），可以通过提供使开发人员满意的最新稳定数据库，开发工具和编程语言，同时以一致，标准化，稳定和安全的方式打包它们，从而使两个团队受益。提高运营团队的职能和效率。

2.使用系统管理工具来自动化您的成功。

标准化后，即可实现自动化。 系统管理工具将把数据中心从手Craft.io车间转变为高产出的IT工厂。 通过将标准系统附加到集中式管理工具，通用仪表板将实时显示系统状态以及是否需要安全补丁或错误修复。 就像大型工厂中的操作控制一样，这些工具可以确保数据中心工厂为其最终用户所忙。

3.使用SCAP连续监视数据中心的安全状况。

因此，您刚刚安装了一些开源软件。 您如何正确保护它？ 幸运的是，安全内容自动化协议（ SCAP ）将安全策略从人工解释的散文转变为机器可读的，明确的XML。 过去，只能从专有公司购买SCAP扫描仪。 如今，像OpenSCAP这样的开源工具可免费获得，已内置到许多操作系统中，并获得了美国国家标准技术研究院的认证 。 通过将OpenSCAP与系统管理工具结合使用，IT专业人员可以频繁运行大规模的自动扫描，从而确保数据中心的效率和安全性。

4.掌握供应商漏洞数据库和工具的主导航，以最小化漏洞窗口。

当数据中心容易受到安全漏洞的攻击时，需要立即修补攻击窗口。 这样做的最好方法是选择与CVE正式兼容的软件， CVE是众所周知的安全漏洞和暴露的标准标识符集。

识别到漏洞后，将为其分配一个CVE号。 这为多个供应商提供了一个单一标识符，以一致且可衡量的方式确定其漏洞。 许多开源项目和社区并没有始终遵循CVE，但是有几家将这些项目商业化的公司也这样做，因此明智地选择。

除了跟踪CVE，管理员还可以使用OpenSCAP进行漏洞扫描。 OpenSCAP可以使用开放式漏洞和评估语言（ OVAL ）内容来扫描系统以查找可以修复的已知漏洞 。 诀窍是确保您选择的供应商一致地提供OVAL内容 ，因此，再次选择明智的方法。

5.使用政府认证的软件。

仅仅因为代码是开源的，并不意味着它没有经过政府认证。 就像商业支持的专有软件一样，商业支持的开源软件也可能符合政府认证，例如FIPS 140加密标准和通用标准 。

如果您的团队正在编写自己的加密技术，请告诉他们停止。 他们不仅需要通过冗长而昂贵的认证流程来获取代码，而且其代码的安全性可能还不如经过公众审查并经过实验室多年认证的安全性。

使用FIPS认证的加密库编写应用程序，就无需亲自获得FIPS认证。 认证的密码库使开发人员可以站在已经进行认证工作的巨头的肩膀上。

6.有一个供应商在您身边。

向10个Linux管理员提问，您大概会得到11个答案。 也许12.哪个是对的？ 在网络上搜索问题时，问题甚至更加严重，并且某些答案实际上弊大于利。

通过与商业供应商合作，您不仅可以从他们的产品知识中受益，而且还可以从他们与可能已经解决了您遇到的相同问题的其他客户的经验中受益。 同样，当涉及到开源时，您可以自己将功能添加到项目中，但这需要时间，精力和影响力。 通过与对开源社区做出贡献的供应商合作，您的声音可以得到放大，并且可以更快地进行更改。

有了这些技巧，引入开放源代码不一定是一个令人生畏的过程。 开源软件可以与专有软件一样安全，具有更大的优势。 该软件降低的成本和协作性质允许更快，更实质的创新，从而提高整个机构的效率。

最初发布在GCN上 。 经作者许可，在知识共享下重新发布。 从本文的原始发布者GCN重新发布。

翻译自: https://opensource.com/government/14/11/6-tips-adopting-open-source

采用开源技术的好处