Čo je open source?

Softvér s otvoreným zdrojom je softvér, ktorého zdrojový kód bol verejne prístupný jeho vlastníkom autorských práv. Na základe skutočnej licencie s otvoreným zdrojom sa softvér vyvíja spoločne a ďalší programátori môžu kód pozerať, upravovať alebo používať na svoje vlastné účely. Tento „čistý“ model s otvoreným zdrojom sa často označuje ako FOSS (bezplatný a open source softvér)..


Variantom otvoreného zdroja je „zdroj k dispozícii“, čo znamená, že nie je udelené povolenie na úpravu alebo iné použitie kódu, ale že je k dispozícii na nahliadnutie. Z bezpečnostných dôvodov je to rovnako dobré ako skutočný otvorený zdroj, takže keď v tomto článku odkazujem na „otvorený zdroj“, zahrnujem kód „zdroj je k dispozícii“..

Čo je uzavretý zdroj?

Väčšina softvéru je napísaná a vyvíjaná komerčnými spoločnosťami. Je pochopiteľné, že tieto spoločnosti nechcú, aby iní kradli svoju tvrdú prácu alebo obchodné tajomstvá, aby pomocou šifrovania skryli svoj kód pred zvedavými očami a akýkoľvek pokus o použitie alebo úpravu kódu bez povolenia bude mať za následok súdne spory alebo horšie.

Aký je problém??

Ako hovorím, je to všetko celkom pochopiteľné, ale pokiaľ ide o bezpečnosť, predstavuje to hlavný problém. Ak nikto nemôže vidieť podrobnosti o tom, čo program robí, ako vieme, že nerobí niečo škodlivé? V podstate to nemôžeme, tak jednoducho musíme veriť príslušnej spoločnosti, čo je niečo, čo my, paranoidné typy bezpečnosti, nerobíme (s dobrým dôvodom)..

Prečo je open source najlepším riešením?

Ak je kód otvoreným zdrojom, môže ho nezávisle skontrolovať a skontrolovať ktokoľvek, kto má na to oprávnenie, aby sa skontrolovalo, či neexistujú zadné dvere, slabé miesta alebo iné bezpečnostné problémy. Open source nie je dokonalé riešenie (pozri nižšie), ale je to jediný spôsob, ako si overiť, či softvér robí iba to, čo má robiť..

Aj keď nebol auditovaný, samotná skutočnosť, že je voľne k dispozícii na audit, je silným znakom toho, že sa mu dá veriť, pretože je nepravdepodobné, že vývojári by zahrnuli škodlivý kód a potom ho nechali otvorené, aby ho objavil niekto, kto stará sa pozrieť.

Nie je to dokonalé riešenie ...

Bohužiaľ, existuje obmedzený počet jednotlivcov, ktorí majú zručnosti a čas na audit softvéru s otvoreným zdrojovým kódom (zvyčajne zadarmo), čo znamená, že veľká väčšina programov s otvoreným zdrojom nebola podrobená auditu..

Tento problém je znásobený skutočnosťou, že mnoho programov s otvoreným zdrojovým kódom je mimoriadne zložitých a obsahujú tisíce až tisíce riadkov kódu, takže aj keď boli auditované, je úplne možné, že audítorom problém nevynechal (najmä ak sa vyskytol škodlivý kód). úmyselne skryté).

Ale…

Open source preto nezaručuje, že program je „čistý“, ale je to najlepšia záruka, že máme (alebo môžeme), že je to tak. Alternatívou je uzavretý zdroj, ktorý vôbec neposkytuje žiadne záruky.

Vždy overte programy s otvoreným zdrojom

Takže otvorený zdroj je skvelý pre bezpečnosť. Jéj! Ako však môžete s istotou vedieť, že s programom s otvoreným zdrojovým kódom, ktorý ste práve prevzali, nebolo nejakým spôsobom manipulované?

Môže to znieť ako whacko paranoidné konšpiračné fantasy myslenie, ale vo februári 2016 bola webová stránka jednej z najpopulárnejších verzií operačného systému Linux s otvoreným zdrojovým kódom, Linux Mint, napadnutá a downloaderom bola poskytnutá kompromisná verzia OS.,

„Hackeri vytvorili upravenú Linuxovú mincovňu ISO, ktorá má zadné vrátka a podarilo sa nám nalomiť našu webovú stránku, aby na ňu poukázala.“

Infikované obrazy systému Linux ISO nainštalovali celý operačný systém s cunami na zadných dverách IRC (Internet Relay Chat), ktoré útočníkom umožnili prístup k systému používateľov prostredníctvom serverov IRC. Hrozba je teda veľmi reálna.

V tomto prípade by sťahovatelia, ktorí sa obťažovali s kontrolným súčtom hash MD5 súboru (tu nájdete postup, ako to urobiť), zaznamenali klam, ale takéto kontroly hash nie sú spoľahlivou ochranou, pretože ak je možné webovú stránku napadnúť na prvom mieste, je triviálne nahradiť zverejnený kontrolný súčet nesprávnym kontrolným súčtom, ktorý overuje zložený súbor.

Oveľa lepšie je, aby vývojári digitálne podpísali svoj softvér, aby používatelia mohli overiť pôvod súboru (vývojári mincovne boli v tomto ohľade veľmi laxní, pretože ich softvér nebol digitálne podpísaný a dokonca aj používaná hashovacia funkcia MD5 je známa) byť zlomený!)

Prečítajte si môj článok o digitálnych podpisoch - prečo a ako by ste ich mali používať na získanie ďalších informácií. Overovanie digitálnych podpisov je, žiaľ, bolestivé, je však potrebné, ak vám záleží na bezpečnosti.

Chcel by som tiež poznamenať, že v ideálnom prípade by mal byť všetok softvér podpísaný a overený digitálne, ale pretože otvorený zdrojový kód môže ktokoľvek voľne meniť, je ľahšie s ním manipulovať ako s uzavretým zdrojovým kódom. Preto je obzvlášť dôležité overiť programy s otvoreným zdrojom.

Open Source: Záver

Open source nie je dokonalé riešenie, ale poskytuje najlepšiu (a iba!) Záruku možného dôveryhodnosti softvéru. Alternatívou je uzavretý zdroj, ktorý neposkytuje žiadnu záruku (okrem slepej viery v spoločnosť, ktorú si spoločnosti, ktoré si zaslúžia dôveru, nezaslúži).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me