Programovanie

Prečo je softvér s otvoreným zdrojovým kódom bezpečnejší?

Prečo je softvér s otvoreným zdrojovým kódom bezpečnejší?

Softvér s otvoreným zdrojovým kódom si už dávno získal reputáciu bezpečnejšieho než jeho náprotivky s uzavretým zdrojom. Čím to však zvyšuje bezpečnosť softvéru s otvoreným zdrojom? Redditor sa nedávno spýtal na túto otázku a dostal niekoľko zaujímavých odpovedí.

Parasymphatetic položil otázku v linuxovom subreddite:

Existuje teda spoločný argument, že Linux a softvér s otvoreným zdrojom sú bezpečnejšie ako ich náprotivky v systéme Windows. Teraz, ako open source a úplný nováčik systému Linux, mám nasledujúcu otázku: Ako?

Ako viete, že kompilovaný program, ktorý si stiahnete, je úplne rovnaký ako zdrojový kód, ktorý poskytli? A skutočne niekto skontroluje desaťtisíc riadkov kódu, ktoré niekto poskytne? Či?

A nevkladáte ľuďom Valve a Blender rovnakú dôveru, ako keď sa Microsoftu zamračene pozerajú používatelia Windows?

Viac na Reddite

Jeho kolegovia redaktori Linuxu odpovedali svojimi myšlienkami o tom, prečo je softvér s otvoreným zdrojovým kódom bezpečnejší:

Bushwacker: „Všetko je k dispozícii na kontrolu. Môžete si vytvoriť kód vrátane jadra sami. Teraz o zadných vrátkach v kompilátoroch, to je iný príbeh. “

AiwendilH: „Nie je to tak, že softvér opensource je nevyhnutne lepšie navrhnutý ... je to tak, že bez zdrojového kódu je nemožné vidieť, čo program robí. Softvér opensource je teda považovaný za bezpečnejší, pretože je to jediný druh softvéru, ktorý je možné vôbec skontrolovať z hľadiska bezpečnosti bez toho, aby ste museli slepo niekomu dôverovať ... všetko, čo nie je open-source, sa nedá skontrolovať a musí to byť zrejmé ako neistý. “

Daemonpenguin: „Otvorený zdroj nie je automaticky bezpečnejší ako uzavretý zdroj. Rozdiel je v otvorenom zdrojovom kóde, ktorý si môžete overiť (alebo zaplatiť niekomu, kto overí za vás), či je kód bezpečný. Pri programoch s uzavretým zdrojom musíte veriť, že časť kódu funguje správne, otvorený zdroj umožňuje, aby bol kód správne testovaný a overený.

Open source tiež umožňuje komukoľvek opraviť poškodený kód, zatiaľ čo uzavretý zdroj môže opraviť iba dodávateľ.

To časom znamená, že projekty s otvoreným zdrojovým kódom (napríklad Linuxové jadro) sa stávajú bezpečnejšími ľuďmi, viac ľudí testuje a opravuje kód.

Každý, kto urobí všeobecné vyhlásenie ako „Softvér s otvoreným zdrojom je bezpečnejší,“ sa mýli. Mali by povedať: „Softvér otvoreného zdroja je možné skontrolovať a opraviť, ak máte pochybnosti o jeho správaní alebo bezpečnosti.“

Kontroluje niekto kód? Mnoho ľudí to robí, najmä na väčších projektoch ako Linux, knižnica C, Firefox atď. Spravidla nie, ale urobil som niekoľko auditov kódu, ktorý som bežal, aby som sa ubezpečil, že funguje správne.

Zvyčajne neverím spoločnosti Microsoft alebo Valve ani žiadnemu inému softvéru so zatvoreným zdrojom. A zvyčajne skutočne dôverujem iba open source projektom, ktoré boli iniciatívne, pokiaľ ide o bezpečnosť. “

Toemme: „Debian sa momentálne pokúša o reprodukovateľné zostavenie svojich balíkov [1], takže môžete skontrolovať, či je binárny kód, ktorý získate, skutočne zostavený zo zdrojového kódu, ktorý vám ukazuje.“

Eingaica: „Väčšina (ak nie všetky) binárnych distribúcií kompiluje softvér a nepoužíva predkompilované binárne súbory poskytnuté vývojármi. Prinajmenšom to platí pre softvér free / open source. Či už môžete dôverovať, že binárne súbory, ktoré získate z distribúcie, sú totožné s tým, čo by ste získali pri kompilácii, je iný problém (pozri napr. Projekt reprodukovateľných zostavení Debianu). “

OMGTokin: „... je pravda, že inštalujete binárne súbory a vkladáte veľkú dôveru do vyššieho prúdu. Hneď, ako ostatní spomenú, budú existovať reprodukovateľné zostavy, ale našťastie pre vás väčšina nainštalovaného softvéru obsahuje úložisko git, ktoré vám umožní načítať zdrojový kód a zostaviť si ho. “

Pošli mi: „Úroveň paranoje, o ktorej hovoríš, je dosť ďaleko. Problém softvéru so zatvoreným zdrojom, pokiaľ ide o bezpečnosť, je ten, že iba pár ľudí si môže pozrieť zdrojový kód a pokúsiť sa ho opraviť. FOSS má oveľa viac vývojárov, ktorí sa na kód pozerajú, takže dúfajme, že prinesie viac opráv chýb. “

Tymanthius: „Tu je vec, pokiaľ nebudete zálohovať NIEKOĽKO vrstiev hlboko, aby ste vytvorili kompilátory, musíte niekde začať dôverovať. Existuje tiež prostý a jednoduchý fakt, že väčšina z nás jednoducho nie je taká dôležitá / zaujímavá na špehovanie. “

Justcs: „Licencia nediktuje kvalitu kódu.“

Whotookmynick: ”... nemôžete dôverovať žiadnemu veľkému množstvu kódu pre iný, môžete použiť nástroje ako Wirehark, Strace atď.

Apple a MS (a ventily) sú spoločnosti so sídlom v USA, takže ak im ich vláda povie, aby niečo podnikli, budú musieť vyhovieť. Ďalšou vecou je nemecká vláda, ktorá v skutočnosti robí trójske kone legálne.

Pokiaľ ide o osobnú bezpečnosť, váš smerovač filtruje väčšinu hrozieb, pokiaľ váš počítač neotvorí samotný port. Mali by ste byť v poriadku, pretože linux / bsd X môže jeden otvoriť, sshd otvorí jeden, vnc, skype / irc / čokoľvek iné, ibaže majú mať zraniteľné miesta využiteľné cez pripojenie “

Viac na Reddite

$config[zx-auto] not found$config[zx-overlay] not found