Cik droša ir atvērtā pirmkoda programmatūra?

Kad cilvēki izvēlas programmatūru, drošība bieži atrodas viņu prioritāšu sarakstu augšgalā. Un, ja tā nav, tam vajadzētu būt! Tomēr viņi parasti brīnās par atšķirībām starp slēgtā un atvērtā pirmkoda programmatūru.

Tātad, kāda ir atšķirība starp atvērto un slēgto pirmkodu? Vai atvērtā pirmkoda programmatūra ir patiešām droša?

Atvērtā koda vs. Slēgta pirmkoda programmatūra

Cilvēki padara atvērtā koda programmatūru brīvi pieejamu visiem. Sabiedrība to var izmantot, kopēt, mainīt un izplatīt. Turklāt, kā norāda nosaukums, ikviens var redzēt pirmkodu.

Slēgta pirmkoda programmatūrā ir stingri aizsargāts kods, kuru var redzēt vai mainīt tikai pilnvarotas personas. Izmaksas sedz cilvēku tiesības to izmantot, bet tikai galalietotāja licences līguma robežās.

Atvērtā koda redzamībai ir drošības plusi un mīnusi

Ikviena iespēja redzēt pirmkodu sniedz lielas priekšrocības atvērtā pirmkoda drošībai. Attīstība kļūst par kopienas centieniem, kurā piedalās cilvēki no visas pasaules.

Tas nozīmē, ka kļūdas bieži tiek pamanītas un novērstas ātrāk nekā tad, ja kodu pārbaudītu tikai daudz mazāka indivīdu grupa.

Tomēr hakeri gūt labumu no pieejamības arī atvērtā koda kodu. Viņi to varētu izmantot, lai plānotu uzbrukumus vai ņemtu vērā ievainojamības.

Izstrādātāji, kuriem ir patiesa interese uzlabot atvērtā koda programmatūru, risina atrastos jautājumus vai vismaz ziņo par problēmām kādam, kam ir prasmes tos risināt. Ikviens, kam ir ļaunprātīgi nodomi, cer, ka lietas paliek nepamanītas pēc iespējas ilgāk.

Šīs realitātes liek kiberdrošības profesionāļiem brīdināt, ka atvērtā koda programmatūra var apdraudēt organizācijas. Viens jautājums ir tāds, ka noziedznieki varēja redzēt kodu un ievadīt tajā bīstamu saturu. Alternatīvi šīs puses varētu mērķēt uz uzņēmumiem kuriem nav stingras prakses pietiekamas frekvences programmatūras ielāpu lejupielādei.

Tā kā atvērtā koda programmatūrai nav centrālās iestādes, kas to pārvaldītu, ikvienam ir grūti uzzināt, kuras versijas tiek izmantotas visbiežāk. Nosaukumus varētu atjaunināt tik bieži, ka organizācijas IT komandas neapzinās, ka viņiem ir veca versija ar nopietnām drošības problēmām.

Trešās puses programmatūras bibliotēkas rada atvērtā koda drošības riskus

Izstrādātāji laika taupīšanai bieži izmanto trešo pušu programmatūras bibliotēkas. Tie ir atkārtoti izmantojami komponenti, kurus izstrādājusi cita persona, nevis sākotnējais pakalpojumu sniedzējs. Viena priekšrocība ir tā, ka tie ļauj izmantot iepriekš pārbaudītu kodu.

Populārās bibliotēkas tiek pārbaudītas daudzās vidēs, izmantojot visdažādākos lietošanas gadījumus. Dabiskais lietošanas biežums nozīmē, ka par kļūdām tiek ziņots bieži. Tomēr tas nenozīmē, ka trešo pušu programmatūras bibliotēkām ir augstāka drošība, pat ja tiek apspriestas tās, kas saistītas ar atvērtā koda programmatūru.

Viens pētījums konstatēja, ka gandrīz 80 procentos gadījumu trešās puses atvērtā pirmkoda programmatūras bibliotēkas netiek atjauninātas pēc tam, kad izstrādātāji tās ir pievienojuši koda bāzēm. Pētījumā iesaistītie pētnieki brīdināja, kā atjauninājumu trūkumam varētu būt papildu ietekme.

Daži no jaunākajiem un plaši izmantotajiem programmatūras nosaukumiem izstrādes laikā paļaujas uz trešo pušu programmatūras bibliotēkām. Viens trūkums varētu ietekmēt visus produktus, kas saistīti ar problemātisku bibliotēku. Vēl viens satraucošs secinājums ir tāds, ka vairāk nekā ceturtā daļa aptaujāto izstrādātāju nezināja vai nebija pārliecināti par jebkādu formālu procesu, ko izmantoja trešo pušu bibliotēku atlasei.

Saistīts: Kas ir nulles dienas izmantošana un kā darbojas uzbrukumi?

Tomēr pozitīvs pētījuma secinājums bija tāds, ka programmatūras atjauninājumi novērš 92 procentus trešo pušu programmatūras bibliotēku trūkumu. Turklāt 69 procentiem atjauninājumu ir nepieciešamas tikai nelielas versijas izmaiņas vai kaut kas vēl mazāk apjomīgs.

Vēl daudzsološāk bija tas, ka izstrādātāji vienas stundas laikā varēja novērst 17 procentus no šiem trūkumiem. Tas nozīmē, ka šo atvērtā pirmkoda bibliotēkas problēmu risināšana ne vienmēr ir ārkārtīgi laikietilpīga vai sarežģīta.

Kā kļūdu novēršanas ātrums ietekmē atvērtā pirmkoda drošību

Viens no galvenie novecojušās programmatūras jautājumi ir tas, ka tas lietotājiem rada iespējamu drošības kļūdu risku. Ideālā pasaulē izstrādātāji pamanītu un labotu visas kļūdas, pirms programmatūra nonāk sabiedrībā. Tomēr tas ir nereāls mērķis.

Nākamā labākā iespēja ir atbrīvot programmatūras ielāpus drīz pēc tam, kad kļūst redzamas ievainojamības. Drošības pētnieki bieži brīdina slēgtā koda programmatūras nodrošinātājus par problēmām, kurām nepieciešami ātri risinājumi. Tomēr cilvēki, kas izstrādā šos produktus, ievēro priekšnieku izvēlētos izlaišanas grafikus.

Arī lēmumu pieņēmēji ne vienmēr piešķir prioritāti visām ievainojamībām. Daži pēc sākotnējās identifikācijas notiek vairākus mēnešus vai gadus. Saistīts jautājums ir tāds, ka daudzi izstrādātāji cīnās ar pārmērīgu vai nelīdzsvarotu darba slodzi, kas var ļoti ierobežot viņu iespējas ātri novērst kļūdas pat ar vislabākajiem nodomiem.

Vēl viena aptauja atklāja, ka 38 procenti izstrādātāju ceturtdaļu sava pieejamā laika pavada programmatūras kļūdu novēršanai. Apmēram 26 procenti respondentu teica, ka uzdevums aizņem pusi no viņu darba dienām. Vēl viens uzkrītošs atklājums bija tāds, ka 32 procenti izstrādātāju tērē līdz 10 stundām nedēļā kļūdu novēršanai, nevis koda rakstīšanai.

Izstrādātāji veic daudz piesardzības pasākumu, lai izvairītos no problemātiska koda izlaišanas. Piemēram, pārklājums no Zils Sentry apsprieda, kā smilškastes datu bāze nodrošina ražošanas vides un visu pašreizējo izvietošanas cikla izmaiņu spoguļversiju.

Tīmekļa izstrādes profesionāļi var mācīties un pārbaudīt lietas bez lielām nelabvēlīgām sekām, kas ietekmē visu komandu. Bet kļūdas joprojām notiek.

Tā kā atvērtā pirmkoda programmatūrā visas attīstības kopienas strādā, lai to uzlabotu, tā ir augsta iespēja, ka kāds ar atbilstošām prasmēm un grafika pieejamību var novērst kļūdu un to iegūt fiksēts. Tas var nozīmēt, ka zināmās ievainojamības nepaliek novērstas tik ilgi, kamēr tās varētu būt ar slēgta pirmkoda programmatūras nosaukumu.

Programmatūras atkarības pastāv, ja viena operētājsistēma darbojas, balstoties uz citu. Runājot par atvērtā koda programmatūru, straujais izmaiņu temps izstrādātājiem bieži apgrūtina izpratni, vai kāda no viņu atkarībām attiecas uz novecojušām versijām.

Tomēr Google nesen izlaida tīmekļa vizualizācijas rīku ar nosaukumu Atklāta pirmkoda ieskats lai risinātu šo problēmu. Tas lietotājiem sniedz pārskatu par komponentiem, kas saistīti ar programmatūras pakotni.

Tā kā informācija ietver informāciju par atkarībām un to īpašībām, attīstības speciālisti gūst skaidrāku priekšstatu par to, vai novecojusi atvērtā koda programmatūra vēlāk varētu radīt problēmas.

Papildus atkarību diagrammu aplūkošanai cilvēki var izmantot salīdzināšanas rīku, kas parāda, kā dažādas pakotnes versijas var ietekmēt atkarības. Dažreiz jaunāks risina drošības problēmu. Piedāvājot šo rīku, Google mērķis ir atvieglot izstrādātājiem labāku izpratni par to, kā viņi izmanto atvērtā koda programmatūru.

Šo jauno zināšanu iegūšana varētu uzlabot drošību un vispārēju lietojamību.

Atvērtā koda programmatūra: nav pilnīgs drošības risinājums

Šis pārskats parāda, kāpēc atvērtā koda programmatūra ne vienmēr ir visdrošākā izvēle salīdzinājumā ar slēgta pirmkoda programmatūru. Tomēr arī atklātā pirmkoda programmatūrā ir daudz labu lietu.

Cilvēkiem, kuri to plāno izmantot personisku iemeslu dēļ vai savās organizācijās, lai pieņemtu lēmumu, vajadzētu izsvērt plusus un mīnusus.

6 labākās atvērtā pirmkoda programmas Windows

Vai meklējat bezmaksas atvērtā pirmkoda programmas Windows? Šeit ir dažas no labākajām programmatūrām, kuras varat instalēt.

Lasiet Tālāk

Par autoru