Kodėl atvirojo kodo programinė įranga yra saugesnė?
Atvirojo kodo programinė įranga jau seniai yra saugesnė už uždaro kodo kolegas. Bet kas daro atvirojo kodo programinę įrangą saugesnę? Redditor neseniai uždavė šį klausimą ir gavo įdomių atsakymų.
Parasymphatetic uždavė savo klausimą „Linux“ subbreddite:
Taigi yra įprastas argumentas, kad „Linux“ ir atvirojo kodo programinė įranga yra saugesnė nei jų „Windows“ kolegos. Dabar, kaip atviro kodo ir visiškas „Linux“ naujokas, man kyla toks klausimas: kaip taip?
Kaip žinoti, kad jūsų parsisiųsta kompiliuojama programa yra tiksliai tokia pati, kaip ir jų pateiktas šaltinio kodas? Ir ar kas nors tikrina dešimt tūkstančių kieno pateiktų kodų eilučių? Ar tu?
Argi jūs nepasitikite „Valve“ ir „Blender“ žmonėmis taip, kaip susiraukę „Windows“ vartotojai pasitiki „Microsoft“?
Daugiau „Reddit“
Jo kolegos „Linux redditors“ atsakė mintimis apie tai, kodėl atvirojo kodo programinė įranga yra saugesnė:
Bushwacker: „Visa tai galima patikrinti. Koodą galite sukurti patys, įskaitant branduolį. Dabar apie kompiliatorių užpakalines duris - kita istorija “.
AiwendilH: „Nėra taip, kad atvirojo kodo programinė įranga būtinai būtų geriau sukonstruota ... yra tai, kad be šaltinio kodo neįmanoma pamatyti, ką daro programa. Taigi atvirojo kodo programinė įranga laikoma saugesne, nes tai yra vienintelė programinės įrangos rūšis, kurią galima visiškai patikrinti saugiai, nereikia aklai pasitikėti kuo nors ... visko, kas nėra atviro kodo, negalima patikrinti ir tai turi būti matoma kaip nesaugus “.
Daemonpenguin: „Atviras šaltinis nėra automatiškai saugesnis už uždarą. Skirtumas yra tas, kad atviro kodo kodą galite patikrinti patys (arba sumokėti kam nors, kad jis patvirtintų už jus), ar kodas yra saugus. Naudodami uždaro kodo programas turite tikėti, kad kodo dalis veikia tinkamai, atvirasis šaltinis leidžia tinkamai patikrinti kodą ir patikrinti, ar jis veikia tinkamai.
Atvirasis šaltinis taip pat leidžia visiems pataisyti sugedusį kodą, o uždarą šaltinį gali ištaisyti tik pardavėjas.
Laikui bėgant tai reiškia, kad atvirojo kodo projektai (pvz., „Linux“ branduolys) yra linkę tapti saugesniais žmonėmis, daugiau žmonių bando ir taiso kodą.
Kiekvienas, kuris pateikia bendrą teiginį, pvz., „Atvirojo kodo programinė įranga yra saugesnė“, klysta. Jie turėtų pasakyti: „Atvirojo kodo programinę įrangą galima patikrinti ir taisyti, kai kyla abejonių dėl jos elgesio ar saugumo“.
Ar kas nors patikrina kodą? Daug žmonių tai daro, ypač didesniuose projektuose, tokiuose kaip „Linux“, C biblioteka, „Firefox“ ir kt. Ar aš? Paprastai ne, bet aš atlikau kelis atlikto kodo auditus, norėdamas įsitikinti, ar jis veikia tinkamai.
Paprastai nepasitikiu „Microsoft“ ar „Valve“ ar kita uždaro kodo programine įranga. Aš paprastai iš tikrųjų pasitikiu tik atvirojo kodo projektais, kurie buvo iniciatyvūs, kai kalbama apie saugumą “.
Toemme: „Šiuo metu„ Debian “stengiasi, kad jų paketai būtų kuriami atkuriamai [1], taigi jūs galite patikrinti, ar gautas dvejetainis failas tikrai sukurtas iš šaltinio kodo, kurį jie jums rodo.“
Eingaica: Dauguma (jei ne visi) dvejetainiai paskirstymai sudaro programinę įrangą ir nenaudoja iš anksto sukompiliuotų dvejetainių programų, kurias teikia kūrėjai. Bent jau taip yra su nemokama / atviro kodo programine įranga. Ar jūs galite pasitikėti, kad iš savo platintojo gaunami dvejetainiai failai yra identiški tiems, kuriuos gautumėte patys sudarydami, yra kita problema (žr., Pvz., „Debian“ atkuriamą „builds“ projektą). “
OMGTokinas: “... tiesa, kad diegiate dvejetainius failus ir labai pasitikite tiekėjų grandimi. Netrukus, kai kiti paminės, bus sukurtos atkūrimo versijos, tačiau laimei, kad dauguma jūsų įdiegtos programinės įrangos turi „git“ talpyklą, kuri leis jums išsirinkti šaltinio kodą, kad prisitaikytumėte ir sukompiluotumėte save “.
Atsiųsk man: „Paranojos lygis, apie kurį kalbate, yra gana toli. Saugumo uždarojo kodo programinės įrangos problema yra ta, kad tik nedaugelis žmonių gali peržiūrėti šaltinio kodą ir bandyti jį ištaisyti. FOSS turi daug daugiau kūrėjų, žiūrinčių į kodą, tikiuosi, kad bus suteikta daugiau klaidų pataisų. “
Tymanthius: „Čia yra dalykas, nebent jūs ketinate sukurti daugybę sluoksnių giliai, kad sukurtumėte kompiliatorius, turite pradėti kažkur pasitikėti. Be to, yra aiškus ir paprastas faktas, kad dauguma mūsų tiesiog nėra tokie svarbūs / įdomūs, kad juos šnipinėtume “.
Justcs: „Licencija nenurodo kodo kokybės.“
Whotookmynick: ”... jūs negalite patikėti dideliu kiekiu kodo kitam, galite naudoti tokius įrankius kaip„ wireshark “,„ strace “ir kt.
„Apple“ ir MS (ir vožtuvai) yra JAV įsikūrusios bendrovės, taigi, jei jų vyriausybė jiems lieptų daryti tai, ko jie turėtų laikytis. Kitas dalykas yra Vokietijos vyriausybė, kuri faktiškai gamina Trojos arklys.
Kalbant apie asmeninį saugumą, jūsų maršrutizatorius filtruoja daugumą grėsmių, nebent jūsų kompiuteris atidaro uostą, turėtumėte būti gerai, kai „Linux / bsd X“ gali atidaryti vieną, „sshd“ atidaro vieną, „vnc“, „skype / irc“ / bet ką, bet jie turi turėti pažeidžiamumų, kuriuos būtų galima išnaudoti per ryšį “
Daugiau „Reddit“
