Kas yra atvirojo kodo?

Atvirojo kodo programinė įranga yra programinė įranga, kurios šaltinio kodą viešai paskelbė jos autorių teisių savininkas. Pagal tikrąją atvirojo kodo licenciją programinė įranga yra kuriama bendradarbiaujant, o kiti programuotojai gali ieškoti, modifikuoti ar naudoti kodą savo tikslams. Šis „grynas“ atvirojo kodo modelis dažnai vadinamas FOSS (nemokama ir atviro kodo programinė įranga)..

Atvirojo kodo variantas yra „turimas šaltinis“, tai reiškia, kad nėra suteikiamas leidimas modifikuoti ar kitaip naudoti kodą, bet jis yra prieinamas tikrinimui. Saugumo sumetimais tai yra lygiai taip pat gerai, kaip ir tikrasis atvirasis šaltinis, todėl, kai šiame straipsnyje nurodau „atvirą kodą“, įtraukiu kodą, kuris yra „prieinamas šaltinis“..

Kas yra uždaras šaltinis?

Didžiąją dalį programinės įrangos kuria ir kuria komercinės kompanijos. Suprantama, kad šios kompanijos nori, kad kitos šalys neišvogtų sunkaus darbo ar komercinių paslapčių, todėl jos slepia savo kodą nuo smalsių akių naudodamos šifravimą, o bet koks bandymas naudoti ar pakeisti kodą be leidimo sukels ieškinius ar dar blogiau..

Taigi, kokia yra problema?

Kaip aš sakau, visa tai yra gana suprantama, tačiau, kalbant apie saugumą, tai kelia didelę problemą. Jei niekas nemato informacijos apie tai, ką daro programa, kaip mes galime žinoti, kad ji nedaro kažkokio kenksmingo? Iš esmės mes negalime, todėl turime tiesiog pasitikėti dalyvaujančia įmone, o tai mes, paranojiški saugumo tipai, esame linkę daryti (dėl rimtos priežasties)..

Kodėl atvirojo kodo sprendimas yra geriausias?

Jei kodas yra atvirojo kodo, jį gali nepriklausomai ištirti ir patikrinti bet kuris kvalifikuotas asmuo tam, kad patikrintų, ar nėra užpakalinių durų, pažeidžiamumų ar kitų saugumo problemų. Atviras šaltinis nėra puikus sprendimas (žr. Žemiau), tačiau tai yra vienintelis būdas įsitikinti, kad programinė įranga veikia tik tai, ką turėtų daryti.


Net jei kodas nebuvo audituotas, pats faktas, kad jis laisvai prieinamas audituoti, rodo aiškų požymį, kad juo galima pasitikėti, nes mažai tikėtina, kad kūrėjai įtrauktų kenkėjišką kodą ir tada paliktų jį atviram kiekvienam, kuris rūpinasi ieškoti.

Ne puikus sprendimas ...

Deja, yra nedaug asmenų, turinčių įgūdžių ir laiko audituoti atvirojo kodo programinę įrangą (dažniausiai nemokamai), o tai reiškia, kad didžioji dauguma atvirojo kodo programų nebuvo audituotos..

Šią problemą dar labiau apsunkina tai, kad daugelis atvirojo kodo programų yra labai sudėtingos, turinčios tūkstančius kodų eilučių, todėl net jei jos buvo patikrintos, visiškai įmanoma, kad auditoriai praleido problemą (ypač jei buvo padarytas kenksmingas kodas. tyčia paslėpta).

Bet ...

Taigi atviras šaltinis negarantuoja, kad programa yra „švari“, tačiau vis dėlto tai yra geriausia garantija, kad turime (ar galime turėti), kad taip yra. Alternatyva yra uždaras šaltinis, kuris niekaip nesuteikia garantijų.

Visada patikrinkite atvirojo kodo programas

Taigi atviras šaltinis yra puikus saugumui. Valio! Bet kaip jūs galite tikrai žinoti, kad ką tik atsisiuntėte atvirojo kodo programą, tam tikru būdu nebuvo pažeista?

Tai gali atrodyti kaip paranojaus fantazijos sąmokslo sąmokslas, tačiau 2016 m. Vasario mėn. Buvo įsilaužta į vienos populiariausių „Linux“ atvirojo kodo operacinės sistemos versijų „Linux Mint“ svetainę, o įkėlėjams buvo suteikta kompromituota OS versija.,

„Piratai padarė modifikuotą„ Linux Mint ISO “su užpakalinėmis durimis ir sugebėjo nulaužti mūsų svetainę, kad į ją būtų atkreiptas dėmesys.

Užkrėsti „Linux ISO“ vaizdai įdiegė visą OS su „Internet Relay Chat“ (IRC) cunamio užpakalinėmis durimis, kurios užpuolikams suteikė prieigą prie vartotojų sistemos per IRC serverius. Taigi grėsmė yra labai reali.

Tokiu atveju parsisiuntėjai, kurie nesivargino patikrinti MD5 failo maišos (žr. Čia, kaip tai padaryti), apgaulę būtų pastebėję, tačiau tokie maišos patikrinimai nėra patikima apsauga, nes jei svetainėje visų pirma galima įsilaužti, ji Trivialiai reikia pakeisti paskelbtą kontrolinę sumą netikra, kuri patikrina sudarytą failą.

Kur kas geriau, kai kūrėjai skaitmeniniu būdu pasirašo savo programinę įrangą, kad vartotojai galėtų patikrinti failo kilmę („Mint“ kūrėjai šiuo atžvilgiu buvo labai laisvi, nes jų programinė įranga nebuvo pasirašyta skaitmeniniu formatu, ir žinoma net naudojama MD5 maišos funkcija. būti palaužtam!)

Norėdami gauti daugiau informacijos, skaitykite mano straipsnį apie skaitmeninius parašus - kodėl ir kaip turėtumėte juos naudoti. Deja, skaitmeninių parašų tikrinimas yra vargas, tačiau būtinas, jei jums rūpi saugumas.

Taip pat turėčiau atkreipti dėmesį, kad idealiu atveju visa programinė įranga turėtų būti pasirašyta ir patikrinta skaitmeniniu būdu, tačiau kadangi atvirojo kodo kodą gali bet kas laisvai modifikuoti, lengviau jį sugadinti nei uždarojo kodo. Todėl ypač svarbu patikrinti atvirojo kodo programas.

Atviras šaltinis: Išvada

Atviras šaltinis nėra puikus sprendimas, tačiau jis suteikia geriausią (ir tik!) Garantiją, kad programine įranga galima pasitikėti. Alternatyva yra uždaras šaltinis, kuris jokiu būdu nesuteikia jokių garantijų (išskyrus aklą tikėjimą įmone, o tai yra tikėjimas, kurio technologijų bendrovės nenori).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me