促进政府机关采用开源软件的六点建议
开放源代码驱动了技术人员低成本合作创新。这也是政务机关优先使用开源软件的初衷。实际上,美国总务管理局首席信息官 Sonny Hashmi 表示,落实开源软件是今年的首要任务。
那么怎样在保证软件安全的情况下,提升政府机关的采用率呢?一下是实现这一目标的六点建议。
1. 标准化通用平台
想象一下,如果你让新兵在武器商店中随便挑选他们想要的武器。你可以预料到在后续训练,共同协作和后勤工作中的混乱场景。
构建数据中心的时候这条原则同样适用。绝大多数开发者想要使用最新的工具,但是这和想要创建标准化,稳定安全平台的运维团队的宗旨是相违背的。
举例来说:Software Collections 的使用。它提供了企业 Linux 工具仓库,通过提供最新最稳定的数据库,开发工具和编程语言取悦了开发者。也将这些工具打包,提供给运维团队使用。可谓双赢。
2. 通过使用系统管理工具来实现自动化
一旦你的平台标准化了之后你就可以开始着手自动化了。系统管理工具可以把数据中心由一个小作坊改造成高产能的IT工厂。通过给标准化的系统增加集成系统工具,一个通用的控制台可以实时显示系统状态,提示是否需要打补丁。就像大型工厂控制管理系统,这些工具保证了数据工厂为用户们正常运转。
3. 使用 SCAP软件来监控数据中心的安全性
现在你已经安装了一些开源工具。你怎么保证他们的安全呢?幸运的是安全内容自动化协议(SCAP)可以讲繁琐的人类安全语言通过 XML 格式转化为清晰的机器语言。在过去,SCAP 扫描工具只有特定的公司可以使用,如今,像 OpenSCAP 等开源工具都是通过国家标准和技术研究所认证可以免费使用的。通过集成 SCAP 类工具,IT 企业可以经常进行大规模的安全扫描来保证数据中心的安全和稳定。
4. 掌握数据库和工具安全漏洞的动向,最小化漏洞窗口
当数据中心面临漏洞,在安全窗口期,所有补丁必须马上部署。最好的办法就是选择一款和 CVE(已经确认并公开的漏洞)同步的软件。
漏洞识别后,CVE 会给它一个编号,让厂商持续关注这个漏洞。许多开源项目不持续跟踪 CVE,但是有些商业公司项目会这么做,所以需要作出明智的选择。
追踪CVE动态的同时,管理员可以使用 OpenSCAP 软件来进行漏洞扫描。OpenSCAP 软件可以使用开源漏洞描述语言(OVAL)来扫描已知漏洞。这一点也需要你明智选择提供 OVAL 语言的厂商。
5. 使用政府认证的软件
并不是说因为因为开源所以政府不会认证。就像商业软件,开源软件也可以符合政府例如 FIPS 140 编录数据库服务协定和通用标准。
如果你的团队正在写自己的编录数据库服务,请停一停。因为这样会让你费时费力。
直接使用编录数据库服务标准工具库来写你的应就不用担心不符合该标准。编录数据库服务类库让开发者站在了巨人的肩膀上,它帮助开发人员完成了认证工作。
6. 找好相关厂商
问十个 Linux 管理员问一个问题可能得到12个答案。哪一个是正确的呢?通过搜索引擎找到问题答案的情况会更糟糕。所以有时候答案太多不一定是件好事。
和商业公司一起合作,你不仅可以从他们的专业知识受益,也可以受益于他们可以解决之前客户遇到过的问题。对于开源项目也是一样,当你想要给项目加个功能,你可以自己干。但是需要花费大量的人力物力。而通过开源项目厂商你可以轻松的实现你的意愿。
了解这些建议,介绍开源项目不会成一件困难的事情。开源软件可以和商业软件一样服务与大家,而且好处更多。开支减少加上开源软件与生俱来的协作性可以创造更丰富的创新,更好的提高各个机构的工作效率。