Ce este open source?

Software-ul open source este un software al cărui cod sursă a fost pus la dispoziția publicului de către titularul dreptului de autor. Sub o adevărată licență open source, software-ul este dezvoltat în colaborare, iar alți programatori pot privi, modifica sau utiliza codul în propriile scopuri. Acest model open source „pur” este adesea denumit FOSS (software gratuit și open source).


O variantă de sursă deschisă este „sursă disponibilă”, ceea ce înseamnă că nu se acordă nicio permisiune pentru modificarea sau utilizarea altfel a codului, dar că este disponibil pentru inspecție. În scopuri de securitate, acest lucru este la fel de bun ca open source adevărat, așa că atunci când mă refer la „open source” în acest articol, includ cod care este „sursă disponibilă”..

Ce este sursa închisă?

Cele mai multe programe software sunt scrise și dezvoltate de companii comerciale. Înțeles, aceste companii sunt dornice să nu-i fure pe alții să-și fure munca grea sau secretele comerciale, așa că își ascund codul de ochii induriositori folosind criptarea, iar orice încercare de a utiliza sau modifica codul fără permisiune va duce la proces sau mai rău..

Deci care este problema?

După cum spun, totul este destul de înțeles, dar când vine vorba de securitate, prezintă o problemă majoră. Dacă nimeni nu poate vedea detaliile a ceea ce face un program, cum putem ști că nu face ceva rău? Practic, nu putem, așa că trebuie doar să avem încredere în compania implicată, ceea ce noi sunt tipurile de securitate paranoice pe care le avem de făcut (cu un motiv întemeiat).

De ce este open source cea mai bună soluție?

Dacă codul este open source, acesta poate fi examinat și auditat în mod independent de către orice persoană calificată pentru a face acest lucru, pentru a verifica dacă nu există spate, vulnerabilități sau alte probleme de securitate. Sursa deschisă nu este o soluție perfectă (vezi mai jos), dar este singura modalitate de a verifica dacă software-ul face doar exact ceea ce se presupune că face.

Chiar dacă codul nu a fost auditat, însăși faptul că acesta este disponibil gratuit pentru a fi auditat oferă un indiciu puternic că poate fi de încredere, deoarece este puțin probabil ca dezvoltatorii să includă codul rău intenționat și apoi să-l lase deschis pentru a fi descoperit de oricine îi pasă să privească.

Nu este o soluție perfectă ...

Din păcate, există un număr limitat de persoane cu abilități și timp pentru auditul software-ului open source (de obicei gratuit), ceea ce înseamnă că marea majoritate a programelor open source nu au fost auditate.

Această problemă se agravează prin faptul că multe programe open source sunt extrem de complexe, care conțin mii și mii de linii de cod, astfel încât, chiar dacă au fost auditate, este complet posibil ca auditorii să fi ratat o problemă (mai ales dacă codul rău intenționat a fost ascuns în mod deliberat).

Dar…

Prin urmare, sursa deschisă nu garantează că un program este „curat”, dar este totuși cea mai bună garanție pe care o avem (sau o putem avea) că așa este. Alternativa este sursa închisă, care nu oferă nicio garanție.

Verificați întotdeauna programele open source

Deci, sursa deschisă este excelentă pentru securitate. Ura! Dar cum puteți ști sigur că programul open source pe care tocmai l-ați descărcat nu a fost modificat într-un fel?

Acest lucru poate părea ca o gândire whacko paranoică fantezie, dar în februarie 2016 site-ul uneia dintre cele mai populare versiuni ale sistemului de operare open source Linux, Linux Mint, a fost hacked, iar o versiune compromisă a sistemului de operare a fost pusă la dispoziția descărcătorilor.,

„Hackerii au făcut un Linux Mint ISO modificat, cu o copertă din spate în el și au reușit să pirateze site-ul nostru web pentru a-l indica.”

Imaginile ISO ISO infectate au instalat sistemul de operare complet cu Tsunami din spate în spate pe Internet Relay Chat (IRC), care le oferea atacatorilor acces la sistemul utilizatorilor prin serverele IRC. Deci amenințarea este foarte reală.

În acest caz, descărcătorii care au deranjat să verifice hash-ul MD5 al fișierului (a se vedea aici pentru a face acest lucru) ar fi descoperit înșelăciunea, dar astfel de verificări de hash nu sunt o protecție fiabilă, deoarece dacă un site web poate fi hackat în primul rând, acesta este banal să înlocuim suma de control publicată cu una falsă care verifică fișierul cuprins.

Mult mai bine este ca dezvoltatorii să semneze digital software-ul lor, astfel încât utilizatorii să poată verifica originea unui fișier (dezvoltatorii Mint au fost foarte vagi în această privință, deoarece software-ul lor nu a fost semnat digital și chiar funcția de hash MD5 care a fost folosită este cunoscută. a fi rupt!)

Vă rugăm să consultați articolul meu despre Semnături digitale - de ce și cum ar trebui să le utilizați pentru mai multe informații. Din păcate, verificarea semnăturilor digitale este ceva dureros, dar este necesar dacă vă pasă de securitate.

De asemenea, ar trebui să rețin că, în mod ideal, toate software-urile ar trebui semnate și verificate digital, dar, deoarece codul sursă deschisă poate fi modificat în mod liber de către oricine, este mai ușor de modificat decât codul sursă închis. Prin urmare, este deosebit de important să verificăm programele open source.

Sursă deschisă: concluzie

Sursa deschisă nu este o soluție perfectă, dar oferă cea mai bună (și numai!) Garanție posibilă pentru că software-ul poate fi de încredere. Alternativa este o sursă închisă, care nu oferă nicio garanție (în afară de credința oarbă în companie, care este o societate tehnologică de credință care nu merită).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me