Açık kaynak nedir?

Açık kaynaklı yazılım, kaynak kodu telif hakkı sahibi tarafından halka açık hale getirilen bir yazılımdır. Gerçek bir açık kaynak lisansı altında, yazılım işbirliği içinde geliştirilir ve diğer programcılar koda kendi amaçlarına bakabilir, bunları değiştirebilir veya kullanabilir. Bu “saf” açık kaynak modeli genellikle FOSS (serbest ve açık kaynak yazılım) olarak adlandırılır.


Bir açık kaynak varyantı “kaynak kullanılabilir” dir, yani kodu değiştirmek veya başka şekilde kullanmak için izin verilmez, ancak inceleme için kullanılabilir. Güvenlik açısından, bu gerçek açık kaynak kadar iyidir, bu nedenle bu makaledeki "açık kaynak" ifadesine başvurduğumda, "kullanılabilir kaynak" kodunu ekliyorum.

Kapalı kaynak nedir?

Çoğu yazılım ticari şirketler tarafından yazılır ve geliştirilir. Anlaşılır biçimde, bu şirketler başkalarının sıkı çalışmalarını veya ticari sırlarını çalmamaya heveslidir, bu nedenle kodlarını şifreleme kullanarak meraklı gözlerden uzak tutarlar ve kodu izinsiz kullanma veya değiştirme girişimleri davalara veya daha kötüye neden olur.

Sorun ne?

Dediğim gibi, bu tamamen anlaşılabilir, ancak güvenlik söz konusu olduğunda büyük bir sorun sunuyor. Hiç kimse bir programın ne yaptığının ayrıntılarını göremezse, kötü amaçlı bir şey yapmadığını nasıl bilebiliriz? Temel olarak yapamayız, bu yüzden ilgili şirkete güvenmemiz gerekiyor, bu da paranoyak güvenlik türlerinin yapmaktan nefret ettiğimiz bir şey (iyi bir sebeple).

Açık kaynak neden en iyi çözüm??

Kod açık kaynaksa, arka oda, güvenlik açığı veya diğer güvenlik sorunlarının olup olmadığını kontrol etmek için, bunu yapmaya yetkili herkes tarafından bağımsız olarak incelenebilir ve denetlenebilir. Açık kaynak mükemmel bir çözüm değildir (aşağıya bakın), ancak yazılımın yalnızca tam olarak yapması gerekeni yaptığını doğrulamanın tek yolu budur.

Kod denetlenmemiş olsa bile, serbestçe denetlenebileceği gerçeği, geliştiricilerin kötü amaçlı kod içermesi ve daha sonra bunu herkes tarafından keşfedilmek üzere açık bırakması olası olmadığından, güvenilir olduğuna dair güçlü bir işaret sağlar. bakmak umurunda.

Mükemmel bir çözüm değil…

Ne yazık ki, açık kaynak yazılımlarını (genellikle ücretsiz olarak) denetleme becerileri ve zamanı olan sınırlı sayıda birey vardır, bu da açık kaynak programlarının büyük çoğunluğunun denetlenmediği anlamına gelir.

Bu sorun, binlerce açık kodlu binlerce satır içeren birçok açık kaynaklı programın son derece karmaşık olması nedeniyle bir araya getirilmiştir, bu yüzden denetlenmiş olsalar bile, denetçilerin bir sorunu kaçırması tamamen mümkündür (özellikle kötü amaçlı kod kullanılmışsa) kasten gizlenmiş).

Fakat…

Bu nedenle açık kaynak, bir programın “temiz” olduğunu garanti etmez, ancak yine de bunun böyle olduğunu (veya sahip olabileceğimizi) en iyi garantidir. Alternatif kapalı kaynaktır, hiçbir şekilde garanti vermez.

Her zaman açık kaynak programlarını doğrulayın

Bu nedenle açık kaynak güvenlik için harikadır. Yaşasın! Ancak yeni indirdiğiniz açık kaynaklı programın herhangi bir şekilde kurcalanmadığından nasıl emin olabilirsiniz??

Bu, whacko paranoid komplo fantezi düşüncesi gibi gelebilir, ancak Şubat 2016'da Linux açık kaynak İşletim Sistemi, Linux Mint'in en popüler sürümlerinden birinin web sitesi saldırıya uğradı ve işletim sisteminin tehlikeye atılmış bir sürümü indiriciler tarafından kullanılabilir hale getirildi.,

"Hackerlar, içinde arka kapı bulunan değiştirilmiş bir Linux Mint ISO yaptı ve web sitemizi işaret edecek şekilde hacklemeyi başardılar."

Virüs bulaşmış Linux ISO görüntüleri, tüm işletim sistemini Internet Relay Chat (IRC) arka kapısı Tsunami ile yükledi ve bu da saldırganların IRC sunucuları aracılığıyla kullanıcıların sistemine erişmesini sağladı. Yani tehdit çok gerçek.

Bu durumda, dosyanın MD5 karmasını kontrol etmekle uğraşan indiriciler (bunun nasıl yapılacağı için buraya bakın) aldatmayı fark ederdi, ancak bu karma kontroller güvenilir bir koruma değildir, çünkü bir web sitesi ilk etapta saldırıya uğrayabilirse, yayınlanan sağlama toplamını, içerilen dosyayı doğrulayan yanlış bir yerine koymak önemsizdir.

Geliştiricilerin yazılımlarını dijital olarak imzalamaları çok daha iyidir, böylece kullanıcılar bir dosyanın kökenini doğrulayabilir (Mint geliştiricileri bu konuda çok gevşekti, çünkü yazılımları dijital olarak imzalanmadı ve kullanılan MD5 karma işlevi bile biliniyor kırılacak!)

Lütfen Dijital imzalar hakkındaki makaleme bakın - daha fazla bilgi için neden ve nasıl kullanmanız gerekir. Ne yazık ki, dijital imzaları doğrulamak acı verici bir şeydir, ancak güvenliği önemsiyorsanız gereklidir.

İdeal olarak, tüm yazılımların dijital olarak imzalanması ve doğrulanması gerektiğine dikkat etmeliyim, ancak açık kaynak kodu herkes tarafından serbestçe değiştirilebildiğinden, kapalı kaynak kodundan daha kolay kurcalamak daha kolaydır. Bu nedenle açık kaynak programlarının doğrulanması özellikle önemlidir.

Açık Kaynak: Sonuç

Açık kaynak mükemmel bir çözüm değildir, ancak yazılıma güvenilebilecek en iyi (ve sadece!) Garantiyi sağlar. Alternatif, herhangi bir garanti vermeyen kapalı bir kaynaktır (şirkete hak etmeyen bir inanç olan şirkete kör inanç dışında).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me