Kas ir atvērts avots?

Atklātā pirmkoda programmatūra ir programmatūra, kuras avota kodu tās autortiesību īpašnieks ir darījis publiski pieejamu. Saskaņā ar patiesu atvērtā koda licenci programmatūra tiek izstrādāta sadarbībā, un citi programmētāji var apskatīt, modificēt vai izmantot kodu saviem mērķiem. Šo “tīro” atvērtā pirmkoda modeli bieži dēvē par FOSS (bezmaksas un atvērtā pirmkoda programmatūru).


Atvērtā koda variants ir “pieejams avots”, kas nozīmē, ka koda modificēšanai vai citādāk izmantošanai netiek piešķirta atļauja, bet tas ir pieejams pārbaudei. Drošības nolūkos tas ir tikpat labs kā patiess atklātais avots, tāpēc, atsaucoties uz “atvērto avotu” šajā rakstā, es iekļauju kodu, kas ir “pieejams avots”.

Kas ir slēgts avots?

Lielāko daļu programmatūras izstrādā un izstrādā komercsabiedrības. Saprotams, ka šie uzņēmumi vēlas, lai citi nezagtu smago darbu vai komercnoslēpumus, tāpēc viņi, izmantojot šifrēšanu, slēpj savu kodu no ziņkārīgo acīm, un visi mēģinājumi izmantot vai modificēt kodu bez atļaujas radīs tiesas prāvas vai vēl sliktāk..

Tātad, kāda ir problēma?

Kā es saku, tas viss ir diezgan saprotams, bet, runājot par drošību, tas rada galveno problēmu. Ja neviens neredz informāciju par programmas darbību, kā mēs varam zināt, ka tā nedara kaut ko ļaunprātīgu? Būtībā mēs to nevaram, tāpēc mums vienkārši jāuzticas iesaistītajam uzņēmumam, ko mēs paranojas drošības veidi nevēlamies darīt (pamatota iemesla dēļ)..

Kāpēc labākais risinājums ir atvērtā koda avots?

Ja kods ir atvērts avots, to var neatkarīgi pārbaudīt un revidēt ikviens, kas ir kvalificēts to darīt, lai pārbaudītu, vai nav aizmugures durvju, ievainojamību vai citu drošības problēmu. Atklātais avots nav ideāls risinājums (skatīt zemāk), taču tas ir vienīgais veids, kā pārbaudīt, vai programmatūra darbojas tikai tā, kā tai paredzēts.

Pat ja kods nav revidēts, pats fakts, ka tas ir brīvi pieejams revidēšanai, skaidri norāda, ka tam var uzticēties, jo ir maz ticams, ka izstrādātāji iekļaus ļaunprātīgu kodu un tad ļaus to atklāt ikvienam, kurš rūpējas meklēt.

Nav ideāls risinājums ...

Diemžēl ir ierobežots skaits cilvēku, kuriem ir gan prasmes, gan laiks, lai revidētu atvērtā pirmkoda programmatūru (parasti par brīvu), kas nozīmē, ka lielais vairums atvērtā pirmkoda programmu nav revidētas..

Šo problēmu papildina fakts, ka daudzas atvērtā pirmkoda programmas ir ārkārtīgi sarežģītas un satur tūkstošiem tūkstošu koda rindu, tāpēc pat tad, ja tās ir auditētas, ir pilnīgi iespējams, ka auditori ir nokavējuši problēmu (īpaši, ja ir bijis ļaunprātīgs kods apzināti slēpts).

Bet…

Tāpēc atvērtā koda negarantē, ka programma ir “tīra”, taču tā tomēr ir labākā garantija, ka mums ir (vai var būt), ka tas tā ir. Alternatīva ir slēgts avots, kas nesniedz nekādas garantijas.

Vienmēr pārbaudiet atvērtā koda programmas

Tātad atklātais avots ir lieliski piemērots drošībai. Yay! Bet kā jūs varat droši zināt, ka tikko lejupielādētā atvērtā pirmkoda programma nav kaut kādā veidā tikusi modificēta?

Tas var izklausīties pēc paranojas sazvērestības fantāzijas domāšanas, taču 2016. gada februārī tika uzlauzta vienas no populārākajām Linux atvērtā pirmkoda operētājsistēmas versijām - Linux Mint, un lejupielādētājiem tika darīta pieejama kompromitēta OS versija.,

"Hakeri izveidoja modificētu Linux Mint ISO ar iekšējo sienu un spēja uzlauzt mūsu vietni, lai norādītu uz to."

Inficētie Linux ISO attēli uzinstalēja visu operētājsistēmu ar Internet Relay Chat (IRC) cietoksni, kas uzbrucējiem ļāva piekļūt lietotāju sistēmai, izmantojot IRC serverus. Tātad draudi ir ļoti reāli.

Šajā gadījumā lejupielādētāji, kuri apņēmās pārbaudīt faila MD5 jaucējkrānu (skat. Šeit, kā to izdarīt), būtu pamanījuši maldināšanu, taču šādas jaucējpārbaudes nav uzticama aizsardzība, jo, ja vietni, pirmkārt, var uzlauzt, tā ir triviāls, lai aizstātu publicēto kontrolsummu ar nepatiesu, kas verificē ietverto failu.

Daudz labāk izstrādātājiem ir digitāli parakstīt programmatūru, lai lietotāji varētu pārbaudīt faila izcelsmi (Mint izstrādātāji šajā sakarā bija ļoti pavirši, jo viņu programmatūra nebija digitāli parakstīta, un ir zināma pat izmantotā MD5 hash funkcija. tikt salauztam!)

Lūdzu, skatiet manu rakstu par digitālajiem parakstiem - kāpēc un kā jums tos vajadzētu izmantot, lai iegūtu vairāk informācijas. Diemžēl digitālo parakstu pārbaude ir sāpīga, bet ir nepieciešama, ja jums rūp drošība.

Jāatzīmē arī, ka ideālā gadījumā visa programmatūra būtu jāparaksta un jāpārbauda digitāli, taču, tā kā atvērto pirmkodu var jebkurš brīvi mainīt, to ir vieglāk manipulēt nekā slēgtu pirmkodu. Tāpēc ir īpaši svarīgi pārbaudīt atvērtā koda programmas.

Atklātais avots: Secinājums

Atklātais avots nav ideāls risinājums, taču tas sniedz vislabāko (un tikai!) Garantiju, ka programmatūrai var uzticēties. Alternatīva ir slēgts avots, kas nesniedz nekādas garantijas (izņemot aklu ticību uzņēmumam, kas ir ticība, ko tehnoloģiju uzņēmumi nav pelnījuši).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me