Proč je software s otevřeným zdrojovým kódem bezpečnější?
Software s otevřeným zdrojovým kódem má již dlouho pověst bezpečnějšího než jeho protějšky z uzavřeného zdroje. Čím to však zvyšuje bezpečnost softwaru s otevřeným zdrojovým kódem? Redditor se nedávno zeptal na tuto otázku a dostal několik zajímavých odpovědí.
Parasymphatetic položil otázku v linuxovém subredditu:
Existuje tedy společný argument, že Linux a software s otevřeným zdrojovým kódem jsou bezpečnější než jejich protějšky v systému Windows. Jako open source a celkem nováček Linuxu mám následující otázku: Jak?
Jak víte, že zkompilovaný program, který si stáhnete, je přesně jako zdrojový kód, který poskytli? A skutečně někdo zkontroluje deset tisíc řádků kódu poskytnutých někým? Ano?
A nedáte lidem Valve a Blenderu stejnou důvěru jako zamračený pohled na uživatele Windows, kteří důvěřují Microsoftu?
Více na Reddit
Jeho kolegové redaktoři Linuxu odpověděli svými myšlenkami, proč je open source software bezpečnější:
Bushwacker: „Vše je k nahlédnutí. Můžete si vytvořit kód sami, včetně jádra. Nyní o zadních vrátkách v kompilátorech, to je jiný příběh. “
AiwendilH: „Není to tak, že software opensource je nutně lépe navržen ... je to tak, že bez zdrojového kódu není možné vidět, co program dělá. Software opensource je tedy považován za bezpečnější, protože je to jediný druh softwaru, který lze vůbec zkontrolovat z hlediska bezpečnosti, aniž byste museli někomu slepě důvěřovat ... vše, co není open-source, nelze zkontrolovat, a to je třeba vidět jako nejistý. “
Daemonpenguin: „Otevřený zdroj není automaticky bezpečnější než uzavřený zdroj. Rozdíl spočívá v otevřeném zdrojovém kódu, který si můžete sami ověřit (nebo někomu zaplatit za ověření), zda je kód zabezpečený. U programů s uzavřeným zdrojovým kódem musíte brát na vědomí, že část kódu funguje správně, otevřený zdroj umožňuje, aby byl kód testován a ověřen, aby správně fungoval.
Otevřený zdroj také umožňuje komukoli opravit poškozený kód, zatímco uzavřený zdroj může opravit pouze prodejce.
To v průběhu času znamená, že projekty s otevřeným zdrojovým kódem (například linuxové jádro) mají tendenci se stát bezpečnějšími lidmi, více lidí testuje a opravuje kód.
Kdokoli, kdo učiní obecné prohlášení jako „Software s otevřeným zdrojovým kódem je bezpečnější“, se mýlí. Měli by říci: „Software s otevřeným zdrojovým kódem lze zkontrolovat a opravit, pokud je pochyb o jeho chování nebo zabezpečení.“
Kontroluje někdo kód? Mnoho lidí to dělá, zejména na větších projektech, jako je Linux, knihovna C, Firefox atd. Ne? Obvykle ne, ale udělal jsem několik auditů kódu, který jsem běžel, abych se ujistil, že funguje správně.
Obvykle nedůvěřuji společnosti Microsoft nebo Valve ani žádnému jinému softwaru s uzavřeným zdrojem. A obvykle opravdu důvěřuji pouze open source projektům, které byly aktivní, pokud jde o bezpečnost. “
Toemme: „V současné době se Debian pokouší o reprodukovatelné sestavení svých balíků [1], takže můžete zkontrolovat, zda je binární soubor, který získáte, skutečně vytvořen ze zdrojového kódu, který vám ukazuje.“
Eingaica: „Většina (ne-li všechny) binární distribuce kompiluje software a nepoužívá předkompilované binární soubory poskytované vývojáři. Alespoň to platí pro bezplatný / otevřený software. Zda můžete věřit, že binární soubory, které získáte z distribuce, jsou totožné s tím, co byste získali při kompilaci, je jiný problém (viz např. Projekt reprodukovatelných sestavení Debianu). “
OMGTokin: „... je pravda, že instalujete binární soubory a dáváte upstream větší důvěru. Jakmile se ostatní zmíní, budou existovat reprodukovatelné verze, ale naštěstí pro vás většina softwaru, který instalujete, má úložiště git, které vám umožní vytáhnout zdrojový kód, abyste se mohli přizpůsobit a sestavit sami. “
Pošli mi: "Úroveň paranoie, o které mluvíš, je docela daleko." Problém softwaru se zavřeným zdrojovým kódem, pokud jde o bezpečnost, spočívá v tom, že zdrojový kód může zobrazit pouze několik lidí a pokusit se jej opravit. FOSS má mnohem více vývojářů, kteří se dívají na kód, takže doufejme, že to přinese více oprav chyb. “
Tymanthius: "Tady je věc, pokud nebudete zálohovat VÍCE vrstev hluboko, abyste vytvořili překladače, musíte někde začít důvěřovat." Existuje také prostý a jednoduchý fakt, že většina z nás prostě není tak důležitá / zajímavá, aby ji špehovala. “
Justcs: "Licence nediktuje kvalitu kódu."
Whotookmynick: „... nemůžete věřit žádnému velkému množství kódu pro jiný, můžete použít nástroje, jako je wirehark, strace atd.
Apple a MS (a ventily) jsou společnosti se sídlem v USA, takže pokud jim jejich vláda řekne, aby něco udělaly, budou muset vyhovět. Další věc je německá vláda, která ve skutečnosti dělá trojské koně legálně.
Pokud jde o osobní bezpečnost, váš router filtruje většinu hrozeb, pokud váš počítač neotevře samotný port, měli byste být v pořádku pod linux / bsd X může otevřít jeden, sshd otevře jeden, vnc, skype / irc / cokoli jiného, ale mají mít zranitelnost zneužitelnou přes připojení “
Více na Reddit
