खुला स्रोत क्यों महत्वपूर्ण है?

खुला स्रोत क्या है?

ओपन सोर्स सॉफ्टवेयर वह सॉफ्टवेयर है जिसका सोर्स कोड सार्वजनिक रूप से उसके कॉपीराइट धारक द्वारा उपलब्ध कराया गया है। एक सच्चे ओपन सोर्स लाइसेंस के तहत, सॉफ्टवेयर को सहयोगात्मक रूप से विकसित किया जाता है, और अन्य प्रोग्रामर कोड को अपने स्वयं के उद्देश्यों को देख, संशोधित या उपयोग कर सकते हैं। इस "शुद्ध" ओपन सोर्स मॉडल को अक्सर FOSS (फ्री और ओपन सोर्स सॉफ्टवेयर) के रूप में जाना जाता है.


खुला स्रोत का एक प्रकार "स्रोत उपलब्ध" है, जिसका अर्थ है कि कोड को संशोधित करने या अन्यथा उपयोग करने की कोई अनुमति नहीं है, लेकिन यह निरीक्षण के लिए उपलब्ध है। सुरक्षा उद्देश्यों के लिए यह केवल सच्चे ओपन सोर्स जितना ही अच्छा है, इसलिए जब मैं इस लेख में "ओपन सोर्स" का संदर्भ देता हूं, तो मैं उस कोड को शामिल करता हूं जो "स्रोत उपलब्ध है".

बंद स्रोत क्या है?

अधिकांश सॉफ्टवेयर वाणिज्यिक कंपनियों द्वारा लिखे और विकसित किए गए हैं। समझदारी से, ये कंपनियां दूसरों को अपनी मेहनत या व्यापार रहस्य चुराने के लिए इच्छुक नहीं हैं, इसलिए वे एन्क्रिप्शन का उपयोग करके अपने कोड को prying आँखों से दूर छिपाते हैं, और अनुमति के बिना कोड का उपयोग करने या संशोधित करने का कोई भी प्रयास मुकदमों या इससे भी बदतर होगा।.

तो समस्या क्या है?

जैसा कि मैं कहता हूं, यह सब काफी समझ में आता है, लेकिन जब सुरक्षा की बात आती है तो यह एक बड़ी समस्या है। यदि कोई भी इस बात का विवरण नहीं देख सकता है कि कोई कार्यक्रम क्या करता है, तो हम यह कैसे जान सकते हैं कि यह कुछ दुर्भावनापूर्ण तो नहीं है? मूल रूप से हम नहीं कर सकते हैं, इसलिए हमें बस इसमें शामिल कंपनी पर भरोसा करना होगा, जो कि हमें सुरक्षा के कुछ प्रकार हैं जो करने के लिए उपयुक्त हैं (अच्छे कारण के साथ).

क्यों खुला स्रोत सबसे अच्छा समाधान है?

यदि कोड खुला स्रोत है, तो स्वतंत्र रूप से जांच की जा सकती है और किसी के द्वारा भी ऑडिट किया जा सकता है, ताकि यह जांचा जा सके कि कोई बैकडोर, कमजोरियां या अन्य सुरक्षा मुद्दे तो नहीं हैं। ओपन सोर्स एक सही समाधान नहीं है (नीचे देखें), लेकिन यह सत्यापित करने का एकमात्र तरीका है कि सॉफ्टवेयर केवल वही कर रहा है जो उसे करना चाहिए था.

यहां तक ​​कि अगर कोड का ऑडिट नहीं किया गया है, तो यह ऑडिट करने के लिए स्वतंत्र रूप से उपलब्ध होने वाला बहुत ही तथ्य एक मजबूत संकेत प्रदान करता है कि इस पर भरोसा किया जा सकता है, क्योंकि यह संभावना नहीं है कि डेवलपर्स में दुर्भावनापूर्ण कोड शामिल होगा और फिर इसे किसी भी व्यक्ति द्वारा खोजे जाने के लिए खुला छोड़ दें। देखने के लिए परवाह है.

एक सही समाधान नहीं है ...

दुर्भाग्य से, खुले स्रोत सॉफ़्टवेयर (आमतौर पर मुफ्त में) का ऑडिट करने के लिए कौशल और समय दोनों की एक सीमित संख्या है, जिसका अर्थ है कि खुले स्रोत कार्यक्रमों के विशाल बहुमत का ऑडिट नहीं किया गया है.

इस समस्या को इस तथ्य से जटिल किया जाता है कि कई खुले स्रोत कार्यक्रम अत्यंत जटिल होते हैं, जिनमें हजारों लाइनें कोड की हजारों होती हैं, इसलिए भले ही उनका ऑडिट किया गया हो, यह पूरी तरह से संभव है कि ऑडिटर एक समस्या से चूक गए (खासकर यदि दुर्भावनापूर्ण कोड रहा हो। जानबूझकर छुपाया गया).

परंतु…

ओपन सोर्स, इसलिए, किसी प्रोग्राम को "क्लीन" करने की गारंटी नहीं देता है, लेकिन फिर भी यह सबसे अच्छी गारंटी है जो हमारे पास है (या हो सकता है) कि यह ऐसा है। विकल्प बंद स्रोत है, जो कोई गारंटी नहीं देता है.

हमेशा खुले स्रोत कार्यक्रमों को सत्यापित करें

तो सुरक्षा के लिए खुला स्रोत महान है। वाह! लेकिन आप यह कैसे सुनिश्चित कर सकते हैं कि आपके द्वारा अभी डाउनलोड किए गए ओपन सोर्स प्रोग्राम में किसी तरह से छेड़छाड़ नहीं की गई है?

यह व्हेको पैरानॉयड साजिश की कल्पना की तरह लग सकता है, लेकिन फरवरी 2016 में लिनक्स ओपन सोर्स ऑपरेटिंग सिस्टम, लिनक्स टकसाल के सबसे लोकप्रिय संस्करणों में से एक की वेबसाइट को हैक कर लिया गया था, और ओएस का एक समझौता संस्करण डाउनलोडर्स के लिए उपलब्ध कराया गया था।,

"हैकर्स ने एक संशोधित लिनक्स मिंट आईएसओ बनाया, जिसमें एक बैकडोर था, और इसे इंगित करने के लिए हमारी वेबसाइट को हैक करने में कामयाब रहे।"

संक्रमित लिनक्स आईएसओ छवियों ने इंटरनेट रिले चैट (आईआरसी) पिछले दरवाजे सुनामी के साथ पूरा ओएस स्थापित किया, जिसने हमलावरों को आईआरसी सर्वर के माध्यम से उपयोगकर्ताओं की प्रणाली तक पहुंच प्रदान की। इसलिए खतरा बहुत वास्तविक है.

इस मामले में, डाउनलोडर जो फ़ाइल के MD5 हैश को चेक करने की जहमत उठाते हैं (यह कैसे करना है इसके लिए यहां देखें) ने धोखे को देखा होगा, लेकिन इस तरह के हैश चेक विश्वसनीय सुरक्षा नहीं हैं क्योंकि अगर किसी वेबसाइट को पहली बार हैक किया जा सकता है, तो प्रकाशित चेकसम को एक गलत के साथ बदलने के लिए तुच्छ है जो सम्मिलित फ़ाइल की पुष्टि करता है.

डेवलपर्स के लिए बहुत बेहतर है कि वे अपने सॉफ़्टवेयर को डिजिटल रूप से हस्ताक्षरित करें ताकि उपयोगकर्ता एक फ़ाइल की उत्पत्ति को सत्यापित कर सकें (मिंट डेवलपर्स इस संबंध में बहुत ढीले थे, क्योंकि उनके सॉफ़्टवेयर को डिजिटल रूप से हस्ताक्षरित नहीं किया गया था, और यहां तक ​​कि एमडी 5 हैश फ़ंक्शन का उपयोग किया जाता है जो ज्ञात है टूट जाने के लिए!)

कृपया डिजिटल हस्ताक्षरों पर मेरा लेख देखें - आपको और जानकारी के लिए उनका उपयोग क्यों और कैसे करना चाहिए। दुर्भाग्य से, डिजिटल हस्ताक्षरों की पुष्टि करना एक दर्द की बात है, लेकिन यदि आप सुरक्षा की परवाह करते हैं तो यह आवश्यक है.

मुझे यह भी ध्यान देना चाहिए कि, आदर्श रूप से, सभी सॉफ़्टवेयर को डिजिटल रूप से हस्ताक्षरित और सत्यापित किया जाना चाहिए, लेकिन क्योंकि खुले स्रोत कोड को किसी के द्वारा स्वतंत्र रूप से संशोधित किया जा सकता है, इसलिए बंद स्रोत कोड की तुलना में छेड़छाड़ करना आसान है। इसलिए खुले स्रोत कार्यक्रमों को सत्यापित करना विशेष रूप से महत्वपूर्ण है.

खुला स्रोत: निष्कर्ष

खुला स्रोत एक सही समाधान नहीं है, लेकिन यह सबसे अच्छा (और केवल!) गारंटी देता है कि सॉफ्टवेयर पर भरोसा किया जा सकता है। विकल्प बंद स्रोत है, जो कोई गारंटी नहीं प्रदान करता है (कंपनी में अंध विश्वास के अलावा, जो एक विश्वास है कि तकनीकी कंपनियां इसके लायक नहीं हैं).

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me