Zakaj je odprtokodna programska oprema varnejša?
Odprtokodna programska oprema že dolgo slovi kot varnejša od svojih zaprtih kod. Toda kaj je tisto, zaradi česar je odprtokodna programska oprema varnejša? Redditor je nedavno postavil to vprašanje in dobil nekaj zanimivih odgovorov.
Parasymphatetic je svoje vprašanje postavil v podrediti Linux:
Obstaja pogost argument, da sta Linux in odprtokodna programska oprema varnejša od svojih kolegov Windows. Zdaj imam kot odprtokodni in popolni začetnik Linuxa naslednje vprašanje: Kako tako?
Kako veste, da je zbrani program, ki ga prenesete, popolnoma tak kot izvorna koda, ki so jo posredovali? In kdo dejansko preveri deset tisoč vrstic kode, ki jo je nekdo priskrbel? Kajne
In ali ljudem Valve in Blender ne zaupate enakega zaupanja, kot namrščeni uporabniki sistema Windows zaupajo Microsoftu?
Več na Redditu
Njegovi kolegi redigorji Linuxa so se odzvali s svojimi mislimi, zakaj je odprtokodna programska oprema varnejša:
Bushwacker: ”Vse je na voljo za pregled. Kodo lahko sestavite sami, vključno z jedrom. Zdaj pa o zaledju v prevajalnikih je to druga zgodba. "
AiwendilH: ”Ne gre za to, da bi bila programska oprema odprtega vira nujno bolje izdelana ... saj je brez izvorne kode nemogoče videti, kaj dela program. Torej je programska oprema opensource bolj varna, saj je edina vrsta programske opreme, ki jo je mogoče sploh preveriti glede varnosti, ne da bi bilo treba slepo zaupati nekomu ... vsega, kar ni odprtokodnega, ni mogoče preveriti in to je treba videti kot negotovo. "
Daemonpenguin: ”Odprta koda ni samodejno varnejša od zaprte kode. Razlika je v odprtokodni kodi, ki jo lahko sami preverite (ali plačate nekomu, da vas preveri), ali je koda varna. Pri zaprtokodnih programih se morate prepričati, da del kode deluje pravilno, odprtokodna koda omogoča, da kodo preizkusite in preverite, da deluje pravilno.
Odprta koda prav tako omogoča vsakomur, da popravi pokvarjeno kodo, medtem ko lahko zaprto kodo popravi samo prodajalec.
Sčasoma to pomeni, da odprtokodni projekti (kot je jedro Linuxa) postajajo bolj varni ljudje, več ljudi testira in popravlja kodo.
Vsak, ki poda splošno izjavo, kot je »Programska oprema z odprto kodo je bolj varna,« se moti. Rekli naj bi: "Odprtokodno programsko opremo je mogoče pregledati in popraviti, kadar je njeno vedenje ali varnost dvomljiva."
Ali kdo preveri kodo? Veliko ljudi to počne, zlasti pri večjih projektih, kot so Linux, knjižnica C, Firefox itd. Običajno ne, vendar sem opravil nekaj revizij kode, ki sem jo izvajal, da sem se prepričal, da deluje pravilno.
Običajno ne zaupam Microsoftu ali Valveu ali kateri koli drugi zaprtokodni programski opremi. In ponavadi resnično zaupam samo odprtokodnim projektom, ki so bili proaktivni pri varnosti. "
Toemme: "Trenutno Debian poskuša doseči, da se njihovi paketi gradijo reproducibilno [1], zato lahko preverite, ali je binarna datoteka, ki jo dobite, resnično zgrajena iz izvorne kode, ki vam jo pokažejo."
Eingaica: ”Večina (če ne vse) binarnih distribucij prevaja programsko opremo in ne uporablja vnaprej sestavljenih binarnih datotek, ki jih nudijo razvijalci. Vsaj to velja za brezplačno / odprtokodno programsko opremo. Ali lahko verjamete, da so binarni podatki, ki jih dobite iz distribucijskega sistema, enaki tistim, ki bi jih dobili s sestavljanjem, je drugačen problem (glejte npr. Debianov projekt ponovljivih zgradb). "
OMGTokin: "... res je, da nameščate binarne datoteke in veliko zaupate v zgornji tok. Kmalu, ko so drugi omenili, bodo obnovljive gradnje, toda na srečo ima večina nameščene programske opreme git repozitorij, ki vam bo omogočil, da povlečete izvorno kodo v aduit in se prevedete.
Pošlji mi: ”Raven paranoje, o kateri govorite, je precej daleč. Kar zadeva varnost, je težava pri zaprtikodni programski opremi v tem, da si lahko le malo ljudi ogleda izvorno kodo in jo poskuša popraviti. FOSS ima veliko več razvijalcev, ki gledajo na kodo, tako da upamo, da bo prišlo do več popravkov. "
Tymanthius: ”Tukaj je stvar, razen če boste naredili NEKOLIKO slojev globoko za izdelavo prevajalnikov, morate nekje začeti zaupati. Obstaja tudi preprosto in preprosto dejstvo, da večina od nas preprosto ni tako pomembna / zanimiva za vohunjenje. "
Justcs: "Licenca ne narekuje kakovosti kode."
Whotookmynick: "... ne morete zaupati nobeni večji količini kode, za drugo lahko uporabite orodja, kot so wireshark, strace itd.
Apple in MS (in ventil) so ameriški podjetji, zato bi morali to upoštevati, če bi jim vlada naročila, naj naredijo nekaj. Druga stvar je nemška vlada, ki trojance dejansko izdeluje zakonito.
Kar zadeva osebno varnost poleg tega, vaš usmerjevalnik izloči večino groženj, razen če računalnik sam odpre vrata, bi morali biti v redu, če linux / bsd X lahko odpre eno, sshd odpre eno, vnc, skype / irc / karkoli že imajo uporabiti ranljivosti prek povezave "
Več na Redditu
