因此，组织能否仅使用开源工具来保护其运营环境?这个答案是肯定的，但是很复杂。这取决于组织的IT员工的经验，组织愿意花费多少费用以及对风险的承受能力。

非营利性开放网络应用程序安全项目(OWASP)基金会全球董事会主席、德勤公司渗透测试高级经理Owen Pendlebury说，在大多数情况下，开源安全工具与专有工具一样有效或几乎一样有效，这是因为，与专有工具不同，开源工具是由活跃且参与其中的社区人员维护的，其中许多都是专家。

事实上，开源安全在短时间内取得了长足的进步。在过去的十年中，供应商联合起来促进开源安全性，并且经常与联盟合作。开放网络安全联盟(OCA)就是其中之一。为了改善网络安全生态系统中的互操作性，开放网络安全联盟(OCA)在今年2月引入了开放源消息传递框架的安全工具，以帮助网络安全软件之间进行数据和命令共享。还有其他活跃的组织，例如非营利组织和全球CERT社区，它们正在资助开源安全工具的开发。

所有这些因素都改变了开源安全格局。还有更多更好的工具，而且将会变得越来越好。

IBM公司安全威胁管理首席架构师JasonKeirstead说：“与12或18个月前相比，开源安全工具的数量和质量都看到了相当迅速的发展。而在2到3年前这个答案却完全不同。”

使用开源安全工具有很多好处。由于它们经常受到开发人员的评审，因此它们会保持更新，并提供完整的文档。另外，它们往往更灵活，允许IT员工在专有环境的范围之外工作。

但这并不总是很顺利。例如，组织无法控制修补程序和发布时间表，这意味着存在不良行为者入侵的风险。

尽管该代码通常会被许多人审查，但它仍然可能包含漏洞。实际上，开源工具与专有工具一样存在相同类型的漏洞。例如，拥有数百万行代码的庞大代码库会使它们难以检测。Pendlebury指出，漏洞还可以作为不良编码实践的一部分而引入，这些实践建立在可能不考虑安全性的情况下开发的传统代码库基础上，或者使用已知漏洞或配置错误的第三方库。

而且它并不总是成本最低。尽管开源工具是免费的，但这并不意味着没有成本。重要的是要考虑将工具集成到组织的环境中并持续维护它们所花费的时间。

Keirstead说，“当使用纯开放源代码工具时，实施者将承担很多支持、集成和维护工作。我们的调查数据表明，网络安全团队雇用的人员进行安全操作。如果已经使用现有的受支持的商业工具，想象一下，如果没有对这些工具的商业支持，而且这些工具都是基于社区的，组织必须自己解决，那么会增加大量工作量。”

尽管有很多安全功能是开源工具的理想之选，但选择它可能需要付出代价。与台式机或端点安全性有关的任何事情都不是一个良好的选择。