问如何检查/测试免费软件的安全问题？

EN

与付费软件所能做的几乎一样:检查供应商/软件的声誉，并评估将其添加到白名单中的风险，以及禁止使用它的成本。

例如，Postfix、OpenBSD、Spring框架或LibreOffice都是享有良好声誉的免费软件，甚至比许多商业工具更好。使用它们的风险非常低。但是，如果您的白名单中已经包含了并发的软件(等效功能)，将它们添加到白名单中而没有真正的理由，那么只会在维护有效版本列表方面增加更多的工作--换句话说，它与您应该为IDEA、Windows或Microsoft Outlook所做的工作没有什么不同。

另一方面，你可以找到没有什么声誉的免费软件，很简单，因为很少有人使用它们。首先要问的问题是，它们是否得到了正确的维护。如果严重的bug已经挂了很长时间，这是一个提示，您应该避免它.但利基商业软件也是如此。

最后一点可以做的是对代码进行审计。我给它最后，尽管它是IMHO，什么可以提供最多的信息，质量和安全的软件。但它在时间或金钱上都非常昂贵，这也是我不愿使用它的原因。但是，如果你想为一次任务关键行动提供一些已知的免费软件，你应该考虑这一点。

对于你的最后一个问题，我不相信工具或任何单一的网站来评估软件的安全性。当然，如果一个反恶意软件堵塞了它，你应该远离，但找到没有病毒是一个充分的条件。对于网站，我试图找到聚合的提示，以建立一个声誉。我也试着利用网站或作者的声誉。例如，当信息安全的高代表用户说了些什么时，我更相信我在ISP论坛上可以找到的东西:-)。但在这一点上我们已经接近模糊逻辑了。