??
客服熱線:0551-69106578 業務咨詢:0551-69106578 郵箱:2268263116@qq.com
媒體合作: ??在線客服:
Copyright (c) 2012 機電產品交易網 . 版權所有 皖ICP備12004440號-2
4月8日互聯網世界兩個震撼事件,一是“心臟出血”漏洞導致全球網站受到安全威脅,二是XP停止服務帶給兩億中國XP用戶的電腦安全。關于“心臟出血”漏洞,是因為多數SSL加密的網站都使用名為OpenSSL的開源軟件包。本周一,研究人員宣布這款軟件存在嚴重漏洞,可能導致用戶的通訊信息暴露給監聽者。
“心臟出血”漏洞被公開之后,一部分雅虎用戶數據在一天之內遭到泄露,雅虎發言人表示:“我們的團隊已經在雅虎的主要資產中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當的修復措施,我們目前正在努力為旗下的其他網站部署修復措施。“
亞馬遜也發布了類似發言表示正在部署修復。但是蘋果、微軟這樣堅持推行商業軟件而不是采用開源軟件的公司暫未中槍。出現互聯網世界如此大面積安全問題的根本原因還在于:當今最熱門的兩大開源網絡服務器Apache和nginx都使用OpenSSL。這兩種服務器約占全球網站總數的三分之二,包括大量熱門的網站。
機會一、“心臟出血”漏洞導致重新審視開源軟件,全球主要IT服務器將被推動重新采用付費的商用軟件,而大量開源項目也會面臨轉付費項目的機遇。
20世紀80年代,自由軟件運動拉開序幕,開源軟件的積極發展推動了應用程序的一個“黃金時代”。計算機軟件生來就是開源和免費的。1976年2月3日,比爾·蓋茨發表了著名的《OpenLettertoHobbyists》(致電腦業余愛好者的一封公開信),提出了軟件“版權”(CopyRight)的概念,正式宣告進入商業軟件時代,隨后商業軟件領域崛起了一個個巨無霸。開源軟件曾一直受到商業軟件的強力壓制,但是幾乎每一款成功的商業軟件背后,總有一款比較成功的開源軟件,如Linux之于Windows,MySQL之于Oracle,商業軟件過高的價格是開源軟件令“野火燒不盡,春風吹又生”。微軟鮑爾默曾將開源與Google和蘋果并稱為微軟的三大勁敵。然而,隨著軟件日益互聯網化,開源軟件在一些領域開始超越商業軟件。在排名前1000的高流量網站中,開源服務器軟件Nginx占據了34.9%,已經取代了Apache(34.5)第一名的位置。將范圍擴大到前百萬網站時,Nginx已超過Microsoft,位列第二。全球范圍內,有上億個網站使用了Nginx,大約占14.55%。類似Netflix、Hulu、Pinterest、AirBnB、WordPress.com、GitHub、SoundCloud、Zynga、Evenbrite及Zappos這些網絡重量級公司都使用了Nginx來服務他們的網站。Apache開源技術則是近十年改變全球IT世界的重要力量,ApacheHTTP服務器項目主要致力于為現代操作系統開發和維護開源的HTTP服務器,其中包括Unix和WindowsNT。自1996年4月以來,Apache就變成了互聯網上最流行的Web服務器。連續18年,ApacheHTTP服務器都是全球Web服務器的領軍者,為上億個網站提供服務。
以下是淘寶網對采用Nginx的說明:淘寶網是亞洲最大的電子商務網站,每天訪問淘寶網的PV超過了幾十億。大壓力的訪問,對淘寶網的Web服務器提出了嚴苛的要求。經過一系列的對比,我們最終選擇了Nginx作為我們的Web服務器,因為它性能高,又非常節省資源(CPU和內存),并且有足夠的靈活性。雅虎、Google、亞馬遜、Facebook等互聯網新霸主,都大量采用免費的FreeBSD、Linux、ApacheWebServer等開源軟件搭建自己的系統,在開源軟件的“哺育”下崛起的。開源軟件有助于他們成本降低和技術水平提升。但是,應該看到本次“心臟出血”漏洞反映出基于開源軟件構建的IT世界不堪一擊!全球2/3網站采用當今最熱門的兩大開源網絡服務器Apache和nginx,此次全部中招!開源社區的本質允許IT人員來檢查一個產品的源代碼,改善或改變代碼。“心臟流血”帶來的最重要的教訓“這些漏洞都比較隱秘,如果只是看代碼的話,是無法發現。這次是因為谷歌檢測程序足夠嚴格,發現了這個漏洞,但是對于任何依賴開源安全軟件的網站來說,都應該進行反思為什么開源軟件如何脆弱和不堪一擊。
這次罪魁禍首OpenSSL軟件是套開放源代碼的SSL套件,其函式庫是以C語言所寫成,實作了基本的傳輸層資料加密功能。OpenSSL軟件是以EricYoung以及TimHudson兩人所寫的SSLeay為基礎所發展的,但是SSLeay隨著兩人前往RSA公司任職而停止開發。1998年12月23日發布第一套OpenSSL軟件版本,此后大概兩年更新一次版本。
目前這場安全風波給2/3的全球網站帶來安全漏洞,教訓已經很明顯。但是盡管有2/3全球網站使用OpenSSL,這項開源的協議在過去的歲月中因為缺乏足夠的資金進行發展,一直進展緩慢。OpenSSL大約兩年前就已經存在這一缺陷,但是因為缺少嚴格的測試而沒有被發現。當目前網站出現安全問題,由于不是付費的商業軟件,網站根本找不到相關負責人,只能依靠自己的技術力量進行補漏,這不僅浪費時間而且不是每家網站都有這樣的技術力量來補漏。RedHat、SUSE等開源軟件公司都已推出商業版本,2013年8月開源服務器軟件Nginx也發行了其商業版本。此次令全球互聯網公司手忙腳亂的安全事件發生后,不僅推動全球市場商業軟件的普及,而且預計開源項目轉推商業版本也將掀起新的高潮。上世紀90年代末,全球應對“2000年蟲”事件,軟件界年份時間以兩位數計,到2000時所有軟件系統將自動清為00,而由此引發全球軟件內核修補軟件,帶來數百億的軟件外包機會,推動中國印度軟件外包的發展。對比上次“2000年蟲”事件,此次“心臟出血”漏洞影響更深遠,將帶來超千億的市場機會!這對中國軟件界也是重大機會。
機會二、微軟宣布對XP停止服務,給中國安全軟件企業及自主研發操作系統帶來巨大商機。
互聯網數據中心報告顯示,XP在沒有更新的情況下,其病毒感染幾率是Win8的6倍。XP的停止服務意味著用戶的電腦放棄構筑“防御工事”,而網絡攻擊者們卻可以不斷發現用戶電腦的漏洞,研發更先進的“武器”,進行更有針對性的攻擊。有企業IT管理人員擔心最怕的是發生爆發沖擊波、震蕩波之類的蠕蟲病毒。
這令人想起2008年微軟在中國就曾弄出了一個“黑屏事件”。那年10月微軟宣布:10月20日開始推出的新一輪正版增值計劃,如果用戶沒有通過WGA驗證,XP用戶開機進入后桌面背景將變為純黑色,用戶可以重設背景,但每隔60分鐘將再度黑屏。微軟的“黑屏”事件后中國計算機用戶將目光轉向國產的“開源軟件”和網絡安全軟件的發展,半年時間國產的Linux操作系統和Office(ForLinux)辦公軟件個人版的總下載量已突破百萬次。同時推動了金山、騰訊、百度等多家公司推出面向普通用戶的網絡安全軟件。華為、中興等公司也紛紛進入企業級的網絡安全領域。此次,WindowsXP的“退役”恰好為中國網絡安全提出了嚴峻考驗,也提供了新的契機。微軟停止服務之后不提供補丁服務,但是安全軟件可以通過與Windows7等操作系統平臺進行對比,分析出文件差異,得出漏洞可能出現在哪里,而做出自制的補丁,通過不斷打補丁進行加強。國內仍在使用XP系統的用戶逾2億,市場預計將給國內安全軟件領域帶來超過300億元以上規模的需求。安全軟件的市場除涵蓋政府、能源、電信、金融等大型客戶,目前也在迅速向小企業及個人用戶擴展。
此外,這也給發展中國自主產權的操作系統帶來重大機會。中國2億多的XP用戶中大量政府、企業、金融用戶,提供了一個廣闊的廉價、安全新操作系統的需求市場。“斯諾登事件”已過去大半年時間,然而給全球互聯網帶來的震撼仍未停息,世界各國也紛紛進行反思和采取措施,一些國家還競相掀起新一輪網絡安全“保衛戰”,切實加強本國網絡空間安全,現在是中國需要借此機會徹底改變電腦安全受控于美國企業和美國政府的機會。
2006年,微軟推出了Vista操作系統,宣傳要用戶電腦付費升級。當時專家評估確認,Vista的架構會使用戶電腦被微軟高度掌控。在Vista電腦上,沒有得到微軟的授權,不僅一些軟件不能運行,用戶也不能自己能改系統,改一個bit,電腦就不能動,電腦的控制權完全在微軟手里。根據這些意見,中國政府采購目錄中沒有列入Vista。而據相關專家分析,windows8和Vista是同類架構,windows8不可控的程度更超過Vista,因為其還捆綁了微軟的殺毒軟件,更是無時無刻都在檢查用戶電腦,隨時可以給用戶電腦下載補丁,而用戶都無從知道。
4月8日一個是對全球互聯網界產生安全問題的重大事件“心臟出血”漏洞,一個是微軟停止對XP服務給2億多中國XP用戶帶來重大安全影響,雖然都是不好的事件,但是卻給全球和中國軟件業帶來重大的發展機會。推動全球商業軟件的發展,開源軟件推商業軟件,以及加快中國自主操作系統市場化的進程、中國安全軟件大發展等都帶來重大機遇。
微軟是美國棱鏡門事件中的“八大金剛”之一(向美國國家安全部門泄漏企業和個人信息),通過此4月8日互聯網世界兩個震撼事件,一是“心臟出血”漏洞導致全球網站受到安全威脅,二是XP停止服務帶給兩億中國XP用戶的電腦安全。關于“心臟出血”漏洞,是因為多數SSL加密的網站都使用名為OpenSSL的開源軟件包。本周一,研究人員宣布這款軟件存在嚴重漏洞,可能導致用戶的通訊信息暴露給監聽者。
“心臟出血”漏洞被公開之后,一部分雅虎用戶數據在一天之內遭到泄露,雅虎發言人表示:“我們的團隊已經在雅虎的主要資產中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當的修復措施,我們目前正在努力為旗下的其他網站部署修復措施。“
亞馬遜也發布了類似發言表示正在部署修復。但是蘋果、微軟這樣堅持推行商業軟件而不是采用開源軟件的公司暫未中槍。出現互聯網世界如此大面積安全問題的根本原因還在于:當今最熱門的兩大開源網絡服務器Apache和nginx都使用OpenSSL。這兩種服務器約占全球網站總數的三分之二,包括大量熱門的網站。
機會一、“心臟出血”漏洞導致重新審視開源軟件,全球主要IT服務器將被推動重新采用付費的商用軟件,而大量開源項目也會面臨轉付費項目的機遇。
20世紀80年代,自由軟件運動拉開序幕,開源軟件的積極發展推動了應用程序的一個“黃金時代”。計算機軟件生來就是開源和免費的。1976年2月3日,比爾·蓋茨發表了著名的《OpenLettertoHobbyists》(致電腦業余愛好者的一封公開信),提出了軟件“版權”(CopyRight)的概念,正式宣告進入商業軟件時代,隨后商業軟件領域崛起了一個個巨無霸。開源軟件曾一直受到商業軟件的強力壓制,但是幾乎每一款成功的商業軟件背后,總有一款比較成功的開源軟件,如Linux之于Windows,MySQL之于Oracle,商業軟件過高的價格是開源軟件令“野火燒不盡,春風吹又生”。微軟鮑爾默曾將開源與Google和蘋果并稱為微軟的三大勁敵。然而,隨著軟件日益互聯網化,開源軟件在一些領域開始超越商業軟件。在排名前1000的高流量網站中,開源服務器軟件Nginx占據了34.9%,已經取代了Apache(34.5)第一名的位置。將范圍擴大到前百萬網站時,Nginx已超過Microsoft,位列第二。全球范圍內,有上億個網站使用了Nginx,大約占14.55%。類似Netflix、Hulu、Pinterest、AirBnB、WordPress.com、GitHub、SoundCloud、Zynga、Evenbrite及Zappos這些網絡重量級公司都使用了Nginx來服務他們的網站。Apache開源技術則是近十年改變全球IT世界的重要力量,ApacheHTTP服務器項目主要致力于為現代操作系統開發和維護開源的HTTP服務器,其中包括Unix和WindowsNT。自1996年4月以來,Apache就變成了互聯網上最流行的Web服務器。連續18年,ApacheHTTP服務器都是全球Web服務器的領軍者,為上億個網站提供服務。
以下是淘寶網對采用Nginx的說明:淘寶網是亞洲最大的電子商務網站,每天訪問淘寶網的PV超過了幾十億。大壓力的訪問,對淘寶網的Web服務器提出了嚴苛的要求。經過一系列的對比,我們最終選擇了Nginx作為我們的Web服務器,因為它性能高,又非常節省資源(CPU和內存),并且有足夠的靈活性。雅虎、Google、亞馬遜、Facebook等互聯網新霸主,都大量采用免費的FreeBSD、Linux、ApacheWebServer等開源軟件搭建自己的系統,在開源軟件的“哺育”下崛起的。開源軟件有助于他們成本降低和技術水平提升。但是,應該看到本次“心臟出血”漏洞反映出基于開源軟件構建的IT世界不堪一擊!全球2/3網站采用當今最熱門的兩大開源網絡服務器Apache和nginx,此次全部中招!開源社區的本質允許IT人員來檢查一個產品的源代碼,改善或改變代碼。“心臟流血”帶來的最重要的教訓“這些漏洞都比較隱秘,如果只是看代碼的話,是無法發現。這次是因為谷歌檢測程序足夠嚴格,發現了這個漏洞,但是對于任何依賴開源安全軟件的網站來說,都應該進行反思為什么開源軟件如何脆弱和不堪一擊。
這次罪魁禍首OpenSSL軟件是套開放源代碼的SSL套件,其函式庫是以C語言所寫成,實作了基本的傳輸層資料加密功能。OpenSSL軟件是以EricYoung以及TimHudson兩人所寫的SSLeay為基礎所發展的,但是SSLeay隨著兩人前往RSA公司任職而停止開發。1998年12月23日發布第一套OpenSSL軟件版本,此后大概兩年更新一次版本。
目前這場安全風波給2/3的全球網站帶來安全漏洞,教訓已經很明顯。但是盡管有2/3全球網站使用OpenSSL,這項開源的協議在過去的歲月中因為缺乏足夠的資金進行發展,一直進展緩慢。OpenSSL大約兩年前就已經存在這一缺陷,但是因為缺少嚴格的測試而沒有被發現。當目前網站出現安全問題,由于不是付費的商業軟件,網站根本找不到相關負責人,只能依靠自己的技術力量進行補漏,這不僅浪費時間而且不是每家網站都有這樣的技術力量來補漏。RedHat、SUSE等開源軟件公司都已推出商業版本,2013年8月開源服務器軟件Nginx也發行了其商業版本。此次令全球互聯網公司手忙腳亂的安全事件發生后,不僅推動全球市場商業軟件的普及,而且預計開源項目轉推商業版本也將掀起新的高潮。上世紀90年代末,全球應對“2000年蟲”事件,軟件界年份時間以兩位數計,到2000時所有軟件系統將自動清為00,而由此引發全球軟件內核修補軟件,帶來數百億的軟件外包機會,推動中國印度軟件外包的發展。對比上次“2000年蟲”事件,此次“心臟出血”漏洞影響更深遠,將帶來超千億的市場機會!這對中國軟件界也是重大機會。
機會二、微軟宣布對XP停止服務,給中國安全軟件企業及自主研發操作系統帶來巨大商機。
互聯網數據中心報告顯示,XP在沒有更新的情況下,其病毒感染幾率是Win8的6倍。XP的停止服務意味著用戶的電腦放棄構筑“防御工事”,而網絡攻擊者們卻可以不斷發現用戶電腦的漏洞,研發更先進的“武器”,進行更有針對性的攻擊。有企業IT管理人員擔心最怕的是發生爆發沖擊波、震蕩波之類的蠕蟲病毒。
這令人想起2008年微軟在中國就曾弄出了一個“黑屏事件”。那年10月微軟宣布:10月20日開始推出的新一輪正版增值計劃,如果用戶沒有通過WGA驗證,XP用戶開機進入后桌面背景將變為純黑色,用戶可以重設背景,但每隔60分鐘將再度黑屏。微軟的“黑屏”事件后中國計算機用戶將目光轉向國產的“開源軟件”和網絡安全軟件的發展,半年時間國產的Linux操作系統和Office(ForLinux)辦公軟件個人版的總下載量已突破百萬次。同時推動了金山、騰訊、百度等多家公司推出面向普通用戶的網絡安全軟件。華為、中興等公司也紛紛進入企業級的網絡安全領域。此次,WindowsXP的“退役”恰好為中國網絡安全提出了嚴峻考驗,也提供了新的契機。微軟停止服務之后不提供補丁服務,但是安全軟件可以通過與Windows7等操作系統平臺進行對比,分析出文件差異,得出漏洞可能出現在哪里,而做出自制的補丁,通過不斷打補丁進行加強。國內仍在使用XP系統的用戶逾2億,市場預計將給國內安全軟件領域帶來超過300億元以上規模的需求。安全軟件的市場除涵蓋政府、能源、電信、金融等大型客戶,目前也在迅速向小企業及個人用戶擴展。
此外,這也給發展中國自主產權的操作系統帶來重大機會。中國2億多的XP用戶中大量政府、企業、金融用戶,提供了一個廣闊的廉價、安全新操作系統的需求市場。“斯諾登事件”已過去大半年時間,然而給全球互聯網帶來的震撼仍未停息,世界各國也紛紛進行反思和采取措施,一些國家還競相掀起新一輪網絡安全“保衛戰”,切實加強本國網絡空間安全,現在是中國需要借此機會徹底改變電腦安全受控于美國企業和美國政府的機會。
2006年,微軟推出了Vista操作系統,宣傳要用戶電腦付費升級。當時專家評估確認,Vista的架構會使用戶電腦被微軟高度掌控。在Vista電腦上,沒有得到微軟的授權,不僅一些軟件不能運行,用戶也不能自己能改系統,改一個bit,電腦就不能動,電腦的控制權完全在微軟手里。根據這些意見,中國政府采購目錄中沒有列入Vista。而據相關專家分析,windows8和Vista是同類架構,windows8不可控的程度更超過Vista,因為其還捆綁了微軟的殺毒軟件,更是無時無刻都在檢查用戶電腦,隨時可以給用戶電腦下載補丁,而用戶都無從知道。
4月8日一個是對全球互聯網界產生安全問題的重大事件“心臟出血”漏洞,一個是微軟停止對XP服務給2億多中國XP用戶帶來重大安全影響,雖然都是不好的事件,但是卻給全球和中國軟件業帶來重大的發展機會。推動全球商業軟件的發展,開源軟件推商業軟件,以及加快中國自主操作系統市場化的進程、中國安全軟件大發展等都帶來重大機遇。
微軟是美國棱鏡門事件中的“八大金剛”之一(向美國國家安全部門泄漏企業和個人信息),通過此次微軟停止XP服務之際,徹底在中國政府、金融和關鍵行業企業用戶中放棄微軟產品,發展中國自主研發的操作系統,并發展起本土開發商提供的應用和服務,都是非常好的契機。而且可以有效拉動內需,促進國內軟件行業的大發展,帶來上千億的中國軟件業發展機會。
