Proč je open source důležitý?

Co je open source?

Software s otevřeným zdrojovým kódem je software, jehož zdrojový kód byl veřejně přístupný jeho držitelem autorských práv. Na základě skutečné licence pro otevřený zdroj je software vyvíjen ve spolupráci a další programátoři si mohou prohlédnout, upravit nebo použít kód pro své vlastní účely. Tento „čistý“ model s otevřeným zdrojovým kódem je často označován jako FOSS (bezplatný a open source software)..

Varianta otevřeného zdroje je „zdroj k dispozici“, což znamená, že není uděleno povolení ke změně nebo jinému použití kódu, ale že je k dispozici ke kontrole. Z bezpečnostních důvodů je to stejně dobré jako skutečný otevřený zdroj, takže když v tomto článku odkazuji na „otevřený zdroj“, přidám kód, který je „dostupný zdroj“.

Co je uzavřený zdroj?

Většina softwaru je napsána a vyvinuta komerčními společnostmi. Je pochopitelné, že tyto společnosti nechtějí, aby ostatní kradli svou tvrdou práci nebo obchodní tajemství, takže skrývají svůj kód před zvědavými očima pomocí šifrování a jakýkoli pokus o použití nebo úpravu kódu bez povolení povede k soudním sporům nebo k horšímu.

Jaký je problém??

Jak říkám, je to všechno zcela pochopitelné, ale pokud jde o bezpečnost, představuje to hlavní problém. Pokud nikdo nevidí podrobnosti o tom, co program dělá, jak můžeme vědět, že nedělá něco škodlivého? V zásadě to nemůžeme, takže prostě musíme důvěřovat zúčastněné společnosti, což je něco, co my paranoidní typy zabezpečení nemají co dělat (s dobrým důvodem).

Proč je open source nejlepším řešením?

Pokud je kód otevřeným zdrojovým kódem, může jej nezávisle prošetřit a auditovat kdokoli, kdo k tomu má oprávnění, aby se zkontrolovalo, zda neexistují žádné zadní dveře, zranitelná místa ani jiné bezpečnostní problémy. Open source není dokonalým řešením (viz níže), ale je to jediný způsob, jak si ověřit, že software dělá přesně to, co má dělat..

I když kód nebyl auditován, samotná skutečnost, že je volně k dispozici pro audit, poskytuje silnou známku toho, že mu lze důvěřovat, protože je nepravděpodobné, že by vývojáři zahrnuli škodlivý kód a nechali jej otevřený, aby ho objevil kdokoli, kdo stará se podívat.

Není to dokonalé řešení…

Bohužel existuje omezený počet jednotlivců, kteří mají jak dovednosti, tak čas na audit softwaru s otevřeným zdrojovým kódem (obvykle zdarma), což znamená, že drtivá většina programů s otevřeným zdrojovým kódem nebyla auditována..

Tento problém je umocněn skutečností, že mnoho programů s otevřeným zdrojovým kódem je velmi složitých a obsahují tisíce až tisíce řádků kódu, takže i když byly auditovány, je zcela možné, že auditoři problém nevynechali (zejména pokud byl škodlivý kód úmyslně skryté).

Ale…

Open source proto nezaručuje, že program je „čistý“, ale je to nejlepší záruka, že máme (nebo můžeme), že tomu tak je. Alternativou je uzavřený zdroj, který neposkytuje žádné záruky.

Vždy ověřte programy s otevřeným zdrojovým kódem

Takže open source je skvělý pro zabezpečení. Yay! Jak ale můžete s jistotou vědět, že s otevřeným zdrojovým programem, který jste právě stáhli, nebylo nějakým způsobem manipulováno?

Může to znít jako whacko paranoidní spiknutí fantasy myšlení, ale v únoru 2016 došlo k napadení webové stránky jedné z nejpopulárnějších verzí operačního systému Linux s otevřeným zdrojovým kódem, Linux Mint, a stahovatelům byla zpřístupněna kompromitovaná verze OS.,

"Hackeři vytvořili upravenou linuxovou mincovnu ISO se zadním vrátím a dokázali hacknout naše webové stránky, aby na ni ukázali."

Infikované obrazy systému ISO ISO nainstalovaly kompletní operační systém s cunami na zadních vrátkách Internet Relay Chat (IRC), které útočníkům poskytly přístup k systému uživatelů prostřednictvím serverů IRC. Hrozba je tedy velmi reálná.

V tomto případě by stahovatelé, kteří se obtěžovali s kontrolním součtem hash MD5 souboru (viz zde, jak to provést), zahlédli podvod, ale takové hašovací kontroly nejsou spolehlivou ochranou, protože pokud web může být hacknut především, je to je triviální nahradit publikovaný kontrolní součet falešným, který ověří složený soubor.

Mnohem lepší je, aby vývojáři digitálně podepsali svůj software, aby uživatelé mohli ověřit původ souboru (vývojáři mincovny byli v tomto ohledu velmi laxní, protože jejich software nebyl digitálně podepsán, a dokonce i použitá hashovací funkce MD5 je známa) být zlomen!)

Přečtěte si můj článek o digitálních podpisech - proč a jak byste je měli používat pro více informací. Ověření digitálních podpisů je bohužel bolestivé, ale je nutné, pokud vám záleží na bezpečnosti.

Také bych měl poznamenat, že v ideálním případě by měl být veškerý software digitálně podepsán a ověřen, ale protože otevřený zdrojový kód může kdokoli volně upravovat, je snazší manipulovat s ním než uzavřený zdrojový kód. Proto je zvláště důležité ověřit programy s otevřeným zdrojovým kódem.

Open Source: Závěr

Open source není dokonalým řešením, ale poskytuje nejlepší možnou (a pouze!) Záruku možného důvěryhodnosti softwaru. Alternativou je uzavřený zdroj, který neposkytuje žádnou záruku (jiná než slepá víra ve společnost, která je společnostmi, které si technologie víry nezaslouží).

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me