免费的往往最贵，这句话在信息安全领域再度得到验证。最近Opensource开源码软件工具接连传出重大漏洞，若管理人员没有实时更新系统，系统数据就将暴露在高度风险中。
   日前知名购物车管理系统Magento传出有跨站脚本攻击(XSS, Cross site scripting)漏洞，攻击者透过此漏洞将能提升用户权力、窃取客户数据与信用卡信息、透过管理者账号接管整个网站。包括企业版1.14.2.2及之前版本，以及社群版1.9.2.2及之前版本都有此漏洞。所幸在资安公司通报后，该公司已释出修补程序，然而在去(2015)年11月10日通报，该公司直到今年1月20日才正式释出更新程序，数百万计使用Magento的电商网站暴露在攻击的风险之中。
     在Alexa排名前一百万的网站中，Magento以22%的市占率排名第2，仅次于Woo Commerce平台。也正因为这样的高市占率，Magento成为黑客下手的攻击目标。无独有偶，更多人使用的开源码传输加密函式库OpenSSL在前年爆发Heartbleed大漏洞后，日前再度传出另一高风险漏洞，其DH密钥交换算法被传出有漏洞，可能导致密钥回复攻击。
  许多企业碍于预算而使用开源码软件，然而开源码软件并非下载安装后就可一劳永逸地使用，尤其上述使用率高的开源码软件更已成为黑客钻研漏洞的对象。戴夫寇尔执行长翁浩正表示，使用第三方套件尽管可以节省开发时间，但必须能时时追踪资安讯息，以便实时更新。此外，在漏洞已揭露但修补程序未释出的这段空窗期间，也必须自己承担被零时差攻击的风险。因此，opensource套件较适合有技术底子的开发团队使用。
    然而使用软件包或找软件厂商委外开发并非比较安全，委外开发者必须在验收时要求厂商提出资安检测报告，确认系统经过渗透测试。许多委外开发项目受限于上线时间压力与预算，往往只求功能而忽略安全。
翁浩正指出，使用opensource套件与委外开发系统的资安风险其实不相上下，许多委外开发的系统漏洞相当多，且无良的软件业者还不愿修改。而若是使用知名的opensource项目反而有持续更新。他建议，opensource套件尽量在企业内部网络使用，较不建议用于对外开放的网络服务。
    此外，在使用opensource工具软件时，若出现上述漏洞已揭露但更新未释出的情形时，戴夫寇尔部落格也建议，IT管理者应将使用该套件的服务器与其它服务器隔离、账号密码勿与他台共享、异地备份服务器的系统记录并观察是否有可疑行为、采用网页应用防火墙以增加攻击难度、重新评估使用该套件的必要。因此，
网络安全信息有关人员提出几点使用Opensource套件应注意的部分：
1. 时时注意套件官网的资安讯息，以实时修补漏洞。
2. 将opensource套件放于企业内网使用。
3. 当漏洞揭露但更新未释出时，服务器管理应采取应变措施。