問：我所在的公司正在考慮從Microsoft Office過渡到OpenOffice。請問在此過程中，需要考慮哪些安全問題呢？

答：開源軟件和商業(yè)軟件哪個更安全，對這個問題的爭論永遠(yuǎn)也不會停止。當(dāng)然，在涉及到安全問題時，完善的開源項目（如Apache）完全可以與同等水平的商業(yè)軟件相媲美，支持開源的人強調(diào)商業(yè)軟件（如來自微軟和Adobe供應(yīng)商的商業(yè)軟件）持續(xù)存在著安全漏洞問題。開源軟件的開發(fā)人員認(rèn)為，開發(fā)過程的開放性會導(dǎo)致更多的安全缺陷被捕獲。然而，軟件不會僅僅因為是開源類的就不存在缺陷。開源軟件和商業(yè)軟件或內(nèi)部開發(fā)的軟件一樣，都面臨著漏洞問題。

近日，OpenOffice.org發(fā)布了3.2版本，此版本修復(fù)了以前版本中存在的6個漏洞。這些漏洞可以被利用，從而執(zhí)行任意的代碼或者繞過認(rèn)證保護(hù)。遠(yuǎn)程代碼執(zhí)行漏洞非常受黑客們歡迎，因為他們可以讓用戶打開電子郵件中的一個惡意文件，然后遠(yuǎn)程執(zhí)行漏洞利用代碼。OpenOffice.org 3.x有著超過1億的下載量，這么大的用戶基數(shù)已足以吸引惡意黑客們的興趣了。

Fortify Software公司對2008年11款受歡迎的開源應(yīng)用程序進(jìn)行的一項研究表明，企業(yè)忽視了安全問題，從而低估了使用開源軟件所帶來的商業(yè)風(fēng)險。一項研究發(fā)現(xiàn)，商業(yè)軟件對漏洞的修復(fù)速度往往快于開源軟件，因為商業(yè)軟件廠商會面臨更多的風(fēng)險。針對這一點可以公開的進(jìn)行討論，不過可以肯定的是，一些開源項目確實是缺乏商業(yè)軟件中的改變—控制（change-control）流程和測試工具。如果開發(fā)過程中缺乏安全流程，那么漏洞就會成為一個問題。Mozilla一直被認(rèn)為是最重視安全的開源項目，但報告發(fā)現(xiàn)其它許多項目在設(shè)計和開發(fā)階段并不具備有效的安全性。相反，許多商業(yè)軟件公司采用了一種名為安全開發(fā)生命周期（Security Development Lifecycle）的方法對其產(chǎn)品進(jìn)行了升級，其產(chǎn)品代碼的漏洞數(shù)量也大大減少。

你在采用任一款開源軟件之前，都必須進(jìn)行風(fēng)險分析和代碼審查。要想真正了解應(yīng)用程序的工作原理和應(yīng)對事故的措施，你需要仔細(xì)閱讀幫助文檔。省下的軟件許可費可以用來進(jìn)行培訓(xùn)、支持和維護(hù)。用戶必須接受適當(dāng)?shù)呐嘤?xùn)，因為新軟件可能會以不同的方式實現(xiàn)類似功能。例如，OpenOffice往往不會像微軟的Office一樣，在用戶打開一個宏命令時彈出很多用戶警告對話框。如果應(yīng)用程序引入了新功能（如文件共享），你就得對可接受的使用政策（包括如何以及何時使用這些功能）進(jìn)行更新。

當(dāng)開源軟件運行出錯時，沒有相關(guān)人員可以幫助你。所以，你一定要確保能找到一個支持此軟件的活躍論壇或小組，從這里你可以咨詢一些問題并得到相關(guān)建議。另外，你還需要訂閱相關(guān)新聞組（那種可以覆蓋你所用的開源軟件開發(fā)的新聞組）。 OpenOffice.org項目就有一個安全小組，通過專門電子郵件列表發(fā)布OpenOffice軟件的安全警報。要訂閱該列表，你只要發(fā)送一封空郵件到alerts-subscribe@security.openoffice.org即可。OpenOffice.org安全小組還會在其安全公告上發(fā)布安全漏洞的細(xì)節(jié)。