מדוע תוכנת קוד פתוח מאובטחת יותר?

מדוע תוכנת קוד פתוח מאובטחת יותר?

תוכנת קוד פתוח כבר מזמן מוניטין של היותה מאובטחת יותר ממקביליה בקוד סגור. אבל מה זה שהופך את תוכנת הקוד הפתוח לבטוחה יותר? Redditor שאל לאחרונה את השאלה הזו וקיבל תשובות מעניינות.

Parasymphatetic שאל את שאלתו בתת-העריכה של לינוקס:

אז יש טענה נפוצה לפיה תוכנת לינוקס וקוד פתוח מאובטחת יותר מעמיתיהם לחלונות. כעת, כקוד פתוח ובכלל מתחיל לינוקס יש לי את השאלה הבאה: איך כן?

איך תדע שהתוכנית המהודקת שאתה מוריד היא בדיוק כמו קוד המקור שסיפקו? והאם מישהו באמת בודק עשרת אלפי שורות קוד שמספק מישהו? האם אתה?

ואתה לא נותן את אותו אמון לאנשי Valve and Blender כמו שמשתמשי Windows מבטחים את אמונם במיקרוסופט?

עוד ב- Reddit

חבריו העדכניים של לינוקס הגיבו במחשבותיהם מדוע תוכנת קוד פתוח בטוחה יותר:

בושווקר: ”הכל זמין לבדיקה. אתה יכול לבנות את הקוד בעצמך, כולל הליבה. עכשיו לגבי דלתות אחוריות במהדרים, זה סיפור אחר. "

AiwendilH: ”זה לא שתוכנות קוד פתוח מהונדסות בהכרח טוב יותר ... זה שללא קוד המקור אי אפשר לראות מה עושה תוכנית. אז תוכנת קוד פתוח נראית מאובטחת יותר מכיוון שהיא סוג התוכנה היחיד שניתן לבדוק אבטחה בכלל מבלי להזדקק לבטוח בעיוורון במישהו ... לא ניתן לבדוק הכל ולא קוד פתוח ועל ידי זה צריך לראות כחסרי ביטחון. "

Daemonpenguin: ”קוד פתוח אינו מאובטח יותר אוטומטית ממקור סגור. ההבדל הוא בקוד קוד פתוח שתוכל לאמת בעצמך (או לשלם למישהו שיוודא עבורך) האם הקוד מאובטח. עם תוכניות קוד סגור אתה צריך לקחת את זה מתוך אמונה כי פיסת קוד עובדת כראוי, קוד פתוח מאפשר לבדוק את הקוד ולאמת אותו כהלכה.

קוד פתוח מאפשר גם לכל אחד לתקן קוד שבור, ואילו קוד סגור יכול להיות מתוקן רק על ידי הספק.

לאורך זמן פירוש הדבר שפרויקטים של קוד פתוח (כמו ליבת לינוקס) נוטים להיות בטוחים יותר אנשים יותר אנשים בודקים ומתקנים את הקוד.

כל מי שמצהיר הצהרה כללית כמו "תוכנת קוד פתוח מאובטח יותר", טועה. מה שהם צריכים לומר הוא, "תוכנת קוד פתוח ניתנת לביקורת ולתיקון כאשר ספק בספק התנהגותה או אבטחתה."

האם מישהו בודק את הקוד? הרבה אנשים עושים, במיוחד בפרויקטים גדולים יותר כמו לינוקס, ספריית C, פיירפוקס וכו '. האם אני? בדרך כלל לא, אבל ביצעתי כמה ביקורות על קוד שהפעלתי כדי לוודא שהוא עובד כמו שצריך.

בדרך כלל אני לא סומך על מיקרוסופט או על Valve או על כל תוכנת קוד סגור אחרת. ואני בדרך כלל רק סומך על פרויקטים של קוד פתוח שהיו יוזמים בכל הנוגע לאבטחה. "

Toemme: "כרגע דביאן מנסה לבנות את החבילות שלהם לשחזור [1], כך שתוכל לבדוק אם הבינארי שתקבל באמת בנוי מקוד המקור שהם מראים לך."

Eingaica: ”רוב ההפצות הבינאריות (אם לא כולן) אוספות תוכנה ואינן משתמשות בבינאריות שהורכבו מראש המסופקות על ידי המפתחים. לפחות זה המקרה של תוכנת קוד פתוח / חינמית. בין אם אתה יכול לסמוך על כך שהקבצים הבינאריים שתקבל מההפצה שלך זהים למה שתקבל על ידי הידור עצמך, היא בעיה אחרת (ראה למשל פרויקט הבניינים לשחזור של דביאן). "

OMGTokin: "... נכון שאתה מתקין קבצים בינאריים ושם אמון רב במעלה הזרם. די מהר לאחר שאחרים ציינו יהיו בנויות לשחזור, אך למרבה המזל עבורך לרוב התוכנות שתתקין יש מאגר git שיאפשר לך למשוך את קוד המקור לתאימות ולהרכיב את עצמך. "

סנדמי: "רמת הפרנויה שאתה מדבר עליה די רחוקה שם. הבעיה בתוכנת קוד סגור בכל הנוגע לאבטחה היא שרק אנשים מעטים יכולים לצפות בקוד המקור ולנסות לתקן אותו. ל- FOSS הרבה יותר מפתחים שמסתכלים על הקוד ולכן אני מקווה שזה יניב יותר תיקוני באגים. "

טיימנטיוס: "הנה העניין, אלא אם כן אתה הולך לגבות כמה שכבות עמוק כדי ליצור מהדרים, אתה צריך להתחיל לסמוך איפשהו. כמו כן, יש את העובדה הפשוטה והפשוטה שרובנו פשוט לא כל כך חשוב / מעניין לרגל אחריהם. "

Justcs: "הרישיון אינו מכתיב את איכות הקוד."

Whotookmynick: ”... אתה לא יכול לסמוך על כמות גדולה של קוד עבור אחר, אתה יכול להשתמש בכלים כמו wireshark, strace וכו '.

אפל ו- MS (ושסתום) הן חברות מבוססות ארה"ב, כך שאם ממשלתן תורה להן לעשות משהו הן יצטרכו לעמוד בהן. דבר נוסף הוא הממשלה הגרמנית שמייצרת טרויאנים באופן חוקי.

באשר לאבטחה אישית מעבר לכך, הנתב שלך מסנן את רוב האיומים אלא אם כן המחשב שלך פותח יציאה עצמה, אתה צריך להיות בסדר תחת לינוקס / bsd X יכול לפתוח אחד, sshd פותח אחד, vnc, skype / irc / מה שלא יהיה אבל יש להם שניתן לנצל פגיעות דרך חיבור "

עוד ב- Reddit