問：我所在的公司正在考慮從Microsoft Office過渡到OpenOffice。請問在此過程中，需要考慮哪些安全問題呢？

答：開源軟件和商業軟件哪個更安全，對這個問題的爭論永遠也不會停止。當然，在涉及到安全問題時，完善的開源項目（如Apache）完全可以與同等水平的商業軟件相媲美，支持開源的人強調商業軟件（如來自微軟和Adobe供應商的商業軟件）持續存在著安全漏洞問題。開源軟件的開發人員認為，開發過程的開放性會導致更多的安全缺陷被捕獲。然而，軟件不會僅僅因為是開源類的就不存在缺陷。開源軟件和商業軟件或內部開發的軟件一樣，都面臨著漏洞問題。

近日，OpenOffice.org發布了3.2版本，此版本修復了以前版本中存在的6個漏洞。這些漏洞可以被利用，從而執行任意的代碼或者繞過認證保護。遠程代碼執行漏洞非常受黑客們歡迎，因為他們可以讓用戶打開電子郵件中的一個惡意文件，然后遠程執行漏洞利用代碼。OpenOffice.org 3.x有著超過1億的下載量，這么大的用戶基數已足以吸引惡意黑客們的興趣了。

Fortify Software公司對2008年11款受歡迎的開源應用程序進行的一項研究表明，企業忽視了安全問題，從而低估了使用開源軟件所帶來的商業風險。一項研究發現，商業軟件對漏洞的修復速度往往快于開源軟件，因為商業軟件廠商會面臨更多的風險。針對這一點可以公開的進行討論，不過可以肯定的是，一些開源項目確實是缺乏商業軟件中的改變—控制（change-control）流程和測試工具。如果開發過程中缺乏安全流程，那么漏洞就會成為一個問題。Mozilla一直被認為是最重視安全的開源項目，但報告發現其它許多項目在設計和開發階段并不具備有效的安全性。相反，許多商業軟件公司采用了一種名為安全開發生命周期（Security Development Lifecycle）的方法對其產品進行了升級，其產品代碼的漏洞數量也大大減少。

你在采用任一款開源軟件之前，都必須進行風險分析和代碼審查。要想真正了解應用程序的工作原理和應對事故的措施，你需要仔細閱讀幫助文檔。省下的軟件許可費可以用來進行培訓、支持和維護。用戶必須接受適當的培訓，因為新軟件可能會以不同的方式實現類似功能。例如，OpenOffice往往不會像微軟的Office一樣，在用戶打開一個宏命令時彈出很多用戶警告對話框。如果應用程序引入了新功能（如文件共享），你就得對可接受的使用政策（包括如何以及何時使用這些功能）進行更新。

當開源軟件運行出錯時，沒有相關人員可以幫助你。所以，你一定要確保能找到一個支持此軟件的活躍論壇或小組，從這里你可以咨詢一些問題并得到相關建議。另外，你還需要訂閱相關新聞組（那種可以覆蓋你所用的開源軟件開發的新聞組）。 OpenOffice.org項目就有一個安全小組，通過專門電子郵件列表發布OpenOffice軟件的安全警報。要訂閱該列表，你只要發送一封空郵件到alerts-subscribe@security.openoffice.org即可。OpenOffice.org安全小組還會在其安全公告上發布安全漏洞的細節。

【編輯推薦】

1. Office 2010帶給我們的五個安全教訓
2. OpenOffice修補三漏洞稱曝光不會損害商譽