Kiedy ludzie dokonują wyboru oprogramowania, bezpieczeństwo często znajduje się na szczycie ich list priorytetów. A jeśli nie, to powinno! Jednak zazwyczaj zastanawiają się nad różnicami między oprogramowaniem o otwartym i zamkniętym kodzie źródłowym.
Więc jaka jest różnica między otwartym i zamkniętym kodem źródłowym? Czy oprogramowanie open source jest naprawdę bezpieczne?
Open Source vs. Oprogramowanie zamkniętego źródła
Ludzie udostępniają oprogramowanie open-source bezpłatnie dla wszystkich. Publiczność może go używać, kopiować, zmieniać i rozpowszechniać. Dodatkowo, jak sama nazwa wskazuje, każdy może zobaczyć kod źródłowy.
Oprogramowanie o zamkniętym kodzie zawiera ściśle strzeżony kod, który tylko upoważnione osoby mogą zobaczyć lub zmienić. Koszt obejmuje prawo do korzystania z niego, ale tylko w granicach umowy licencyjnej dla użytkownika końcowego.
Widoczność Open Source ma zalety i wady bezpieczeństwa
Możliwość zobaczenia przez każdego kodu źródłowego przynosi duże korzyści w zakresie bezpieczeństwa open source. Rozwój staje się wysiłkiem społeczności, w którym uczestniczą ludzie z całego świata.
Oznacza to, że błędy często są wykrywane i naprawiane szybciej, niż gdyby tylko znacznie mniejsza grupa osób sprawdzała kod.
Jednak hakerzy wykorzystać dostępność kodu open-source też. Mogliby go używać do planowania ataków lub zwracania uwagi na luki w zabezpieczeniach.
Deweloperzy szczerze zainteresowani ulepszeniem oprogramowania typu open source rozwiązują napotkane problemy lub przynajmniej zgłaszają problemy komuś, kto ma umiejętności ich rozwiązywania. Każdy, kto ma złośliwe zamiary, ma nadzieję, że wszystko pozostanie niezauważone tak długo, jak to możliwe.
Te realia sprawiają, że specjaliści od cyberbezpieczeństwa ostrzegają, że oprogramowanie typu open source może narazić organizacje na ryzyko. Jednym z problemów jest to, że przestępcy mogą zobaczyć kod i wstrzyknąć do niego niebezpieczne treści. Ewentualnie strony te mogą atakować firmy które nie mają ścisłych praktyk do pobierania poprawek oprogramowania z wystarczającą częstotliwością.
Ponieważ oprogramowanie typu open source nie ma centralnego organu zarządzającego nim, trudno jest każdemu wiedzieć, które wersje są najczęściej używane. Tytuły mogą być aktualizowane tak często, że zespoły IT organizacji nie zdają sobie sprawy, że mają starą wersję z poważnymi problemami z bezpieczeństwem.
Biblioteki oprogramowania innych firm stanowią zagrożenie bezpieczeństwa typu open source
Deweloperzy często korzystają z bibliotek oprogramowania innych firm, aby zaoszczędzić czas. Są to komponenty wielokrotnego użytku opracowane przez podmiot inny niż pierwotny dostawca. Jedną z zalet jest to, że pozwalają na użycie wstępnie przetestowanego kodu.
Popularne biblioteki są testowane w wielu środowiskach pod kątem szerokiego zakresu zastosowań. Naturalna częstotliwość użycia oznacza, że błędy są często zgłaszane. Nie oznacza to jednak, że biblioteki oprogramowania innych firm mają lepsze zabezpieczenia, nawet w przypadku omawiania tych związanych z oprogramowaniem typu open source.
Jedno badanie odkryli, że w prawie 80% przypadków biblioteki innych firm dla oprogramowania typu open source nie są aktualizowane po dodaniu ich przez programistów do baz kodu. Naukowcy zaangażowani w badanie ostrzegli, że brak aktualizacji może mieć efekt domina.
Niektóre z najnowszych i powszechnie używanych tytułów oprogramowania podczas opracowywania opierają się na bibliotekach oprogramowania innych firm. Jedna wada może dotyczyć wszystkich produktów związanych z problematyczną biblioteką. Kolejnym niepokojącym odkryciem jest to, że ponad jedna czwarta ankietowanych programistów nie była świadoma lub niepewna jakiegokolwiek formalnego procesu wykorzystywanego do wyboru bibliotek zewnętrznych.
Związane z: Co to jest exploit dnia zerowego i jak działają ataki?
Jednak pozytywnym wnioskiem z badania było to, że aktualizacje oprogramowania naprawiają 92 procent błędów w bibliotekach oprogramowania innych firm. Ponadto 69 procent aktualizacji wymaga jedynie niewielkiej zmiany wersji lub czegoś jeszcze mniej rozbudowanego.
Jeszcze bardziej obiecujące było to, że programiści mogli naprawić 17 procent tych usterek w ciągu godziny. Oznacza to, że rozwiązywanie tych problemów z bibliotekami open source nie zawsze jest niezwykle czasochłonne lub skomplikowane.
Jak szybkość rozwiązywania błędów wpływa na bezpieczeństwo Open Source
Jeden z główne problemy z przestarzałym oprogramowaniem polega na tym, że naraża użytkowników na potencjalne luki w zabezpieczeniach. W idealnym świecie programiści zauważyliby i naprawiliby wszystkie błędy, zanim oprogramowanie trafi do opinii publicznej. To jednak nierealny cel.
Następną najlepszą opcją jest opublikowanie łatek oprogramowania wkrótce po ujawnieniu się luk w zabezpieczeniach. Badacze bezpieczeństwa często ostrzegają dostawców oprogramowania o zamkniętym kodzie źródłowym o problemach, które wymagają szybkich napraw. Jednak ludzie opracowujący te produkty postępują zgodnie z harmonogramami wypuszczania, wybranymi przez przełożonych.
Decydenci również nie zawsze traktują priorytetowo wszystkie luki w zabezpieczeniach. Niektóre pozostają bez adresu przez miesiące lub lata po dokonaniu wstępnej identyfikacji. Powiązanym problemem jest to, że wielu programistów zmaga się z nadmiernymi lub niezrównoważonymi obciążeniami, które mogą poważnie ograniczać ich zdolność do szybkiego naprawiania błędów, nawet jeśli mają najlepsze intencje..
Kolejna ankieta odkryli, że 38 procent programistów poświęca jedną czwartą dostępnego czasu na naprawianie błędów oprogramowania. Około 26 procent respondentów stwierdziło, że zadanie zajmuje połowę ich dnia pracy. Innym zaskakującym odkryciem było to, że 32 procent programistów spędza do 10 godzin tygodniowo na naprawie błędów zamiast na pisaniu kodu.
Deweloperzy podejmują liczne środki ostrożności, aby uniknąć wydania problematycznego kodu. Na przykład zasięg od Niebieski wartownik omówiono, w jaki sposób baza danych piaskownicy zapewnia lustrzaną wersję środowiska produkcyjnego i wszelkie bieżące zmiany cyklu wdrażania.
Specjaliści od tworzenia stron internetowych mogą uczyć się i testować rzeczy bez żadnych poważnych negatywnych konsekwencji, które wpływają na cały zespół. Ale błędy nadal się zdarzają.
Ponieważ oprogramowanie o otwartym kodzie źródłowym ma całe społeczności programistów pracujące nad jego ulepszeniem, jest wysoki szansa, że ktoś z odpowiednimi umiejętnościami i dostępnością w harmonogramie może namierzyć błąd i go zdobyć naprawiony. Może to oznaczać, że znane luki w zabezpieczeniach nie pozostają nierozwiązane tak długo, jak w przypadku tytułu oprogramowania o zamkniętym kodzie źródłowym.
Zależności oprogramowania istnieją, gdy jeden system operacyjny opiera się na innym, aby działać. Jeśli chodzi o oprogramowanie open source, szybkie tempo zmian często utrudnia programistom zrozumienie, czy którakolwiek z ich zależności dotyczy przestarzałych wersji.
Jednak firma Google wydała niedawno internetowe narzędzie do wizualizacji o nazwie Informacje o otwartym kodzie źródłowym rozwiązać ten problem. Daje użytkownikom przegląd komponentów związanych z pakietem oprogramowania.
Ponieważ informacje zawierają szczegółowe informacje o zależnościach i ich właściwościach, specjaliści ds. rozwoju mają jaśniejsze pojęcie o tym, czy przestarzałe oprogramowanie typu open source może później powodować problemy.
Oprócz patrzenia na wykresy zależności, ludzie mogą korzystać z narzędzia do porównywania, które pokazuje, jak różne wersje pakietów mogą wpływać na zależności. Czasami nowszy rozwiązuje problem bezpieczeństwa. Oferując to narzędzie, Google ma na celu ułatwienie programistom uświadomienia sobie, w jaki sposób korzystają z oprogramowania typu open source.
Posiadanie tej nowej wiedzy może poprawić bezpieczeństwo i ogólną użyteczność.
Oprogramowanie typu open source: nie jest rozwiązaniem zapewniającym pełne bezpieczeństwo
Ten przegląd pokazuje, dlaczego oprogramowanie o otwartym kodzie źródłowym nie zawsze jest najbezpieczniejszym wyborem w porównaniu z oprogramowaniem o zamkniętym kodzie źródłowym. Niemniej jednak w oprogramowaniu open source jest również wiele dobrych rzeczy.
Osoby, które zamierzają z niego korzystać z powodów osobistych lub w ramach swoich organizacji, powinny rozważyć zalety i wady, aby podjąć decyzję.
Szukasz bezpłatnych aplikacji typu open source dla systemu Windows? Oto niektóre z najlepszych programów, które możesz zainstalować.
Czytaj dalej
- Bezpieczeństwo
- Bezpieczeństwo w Internecie
- Otwarte źródło
Shannon jest twórcą treści z siedzibą w Philly, PA. Pisze w branży technologicznej od około 5 lat po ukończeniu studiów na kierunku informatyka. Shannon jest redaktorem naczelnym magazynu ReHack i zajmuje się tematami takimi jak cyberbezpieczeństwo, gry i technologia biznesowa.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Jeszcze jeden krok…!
Potwierdź swój adres e-mail w e-mailu, który właśnie do Ciebie wysłaliśmy.