在信息技术市场上使用免费或开源(open source)解决方案通常与降低成本和灵活性等好处相关联,但一系列案例提高了人们的担忧水平,尤其是关于安全性的问题,在决定采用这些系统时。 在这方面的最新事件之一是今年五月初确认“easyjson”——一个开源软件库——与俄罗斯VK集团的开发者有关联,VK在该国的影响力和主导地位被比作Facebook。 由于该库在Kubernetes、Istio和Grafana等关键项目中的广泛使用,人们担心它可能被地缘政治目标通过间谍活动或网络攻击所破坏,特别是在国防和金融等敏感领域。
对于ADDEE的CEO兼创始人罗德里戈·加佐拉(Rodrigo Gazola)来说,ADDEE是一家在IT管理解决方案市场已有30年历史的公司,“easyjson”的案例只是又一个加强企业对开源解决方案关注的例子。“这些技术结构是公开的,允许任何人(包括攻击者)研究和寻找漏洞,这是一大风险因素,因为大多数开源解决方案不提供官方免费支持,这可能让企业在关键情况下完全没有帮助,只能依赖论坛和社区,”他表示。
Gazola提到其他与开源程序相关的近期案例。 去年十二月,Ultralytics YOLO项目——一个开源的人工智能库——通过GitHub Actions自动化脚本中的漏洞被攻破。 攻击者利用该漏洞在软件的分发版本中注入了恶意代码。 早在2024年10月,网络犯罪分子就在NPM仓库中发布了数百个恶意软件包,使用类似于合法库的名称(这种技术被称为拼写仿冒)。 目标是欺骗开发者安装这些受损的包,从而在他们的系统中执行恶意代码。
据他所述,这种担忧的局面导致巴西企业对由公认安全且经济的制造商提供的解决方案的需求增加。 最终,当组织选择免费或开源工具时,他们不得不应对这些工具本身需要开发大部分系统配置的复杂性,这会消耗时间和精力,换取所谓的降低最终解决方案成本的好处。 考虑到它们还需要考虑托管和维护成本,如果这些开源平台还增加了泄露的风险,成本效益比确实受到很大影响。
该高管表示,已察觉到在IT服务提供商市场(称为MSPs)中寻找制造商的趋势,这一趋势源于对HaloPSA和N-Able等解决方案的接受度,这两款产品都是通过ADDEE与全球品牌的独家合作引入巴西的。 根据Gazola的说法,产品完全以本币进行销售的事实消除了美元的风险,为依赖长期合同和经常性收入的市场提供了财务可预见性。
“除了解放企业配置解决方案的任务、降低托管和维护成本的担忧外,像HaloPSA和N-Able这样的合作伙伴还确保企业不会因任何类型的开源技术滥用或缺乏保护而中断,”他解释道。
ADDEE的CEO强调,缺乏应对开源程序故障或攻击的应急计划,已阻碍其采用,并促使人们寻找更具弹性、符合预算的替代方案。
