Kiek saugi yra atvirojo kodo programinė įranga?

Kai žmonės pasirenka programinę įrangą, sauga dažnai yra šalia jų prioritetų sąrašų. O jei ne, tai turėtų būti! Tačiau jie paprastai stebisi uždaro ir atvirojo kodo programinės įrangos skirtumais.

Taigi, koks skirtumas tarp atvirojo ir uždarojo kodo? Ar tikrai atviro kodo programinė įranga yra saugi?

Atviro kodo ir Uždaro kodo programinė įranga

Žmonės atvirojo kodo programinę įrangą daro laisvai prieinamą visiems. Visuomenė gali ją naudoti, kopijuoti, keisti ir platinti. Be to, kaip rodo pavadinimas, kiekvienas gali pamatyti šaltinio kodą.

Uždarojo kodo programinė įranga turi griežtai saugomą kodą, kurį matyti ir pakeisti gali tik įgalioti žmonės. Kaina padengia žmonių teisę ja naudotis, tačiau tik neviršijant galutinio vartotojo licencinės sutarties ribų.

Atvirojo kodo matomumas turi saugumo privalumų ir trūkumų

Kiekvieno asmens galimybė pamatyti šaltinio kodą suteikia didelių atvirojo kodo saugumo pranašumų. Vystymasis tampa bendruomenės pastangomis, kuriose dalyvauja žmonės iš viso pasaulio.

Tai reiškia, kad klaidos dažnai pastebimos ir taisomos greičiau, nei jei kodą ištyrinėtų tik daug mažesnė asmenų grupė.

Tačiau įsilaužėliai pasinaudoti prieinamumu atvirojo kodo. Jie galėtų jį naudoti planuodami atakas ar atkreipdami dėmesį į pažeidžiamumą.

Kūrėjai, suinteresuoti tobulinti atvirojo kodo programinę įrangą, sprendžia aptiktas problemas arba bent jau praneša apie problemas tiems, kurie turi įgūdžių jas spręsti. Kiekvienas, turintis kenkėjiškų ketinimų, tikisi, kad viskas lieka nepastebėta kuo ilgiau.

Dėl šios realybės kibernetinio saugumo specialistai įspėja, kad atvirojo kodo programinė įranga gali kelti pavojų organizacijoms. Viena problema yra ta, kad nusikaltėliai galėjo pamatyti kodą ir į jį įterpti pavojingo turinio. Arba šios šalys galėtų nukreipti įmones kad neturi griežtos praktikos pakankamai dažnai atsisiųsti programinės įrangos pataisas.

Kadangi atvirojo kodo programinė įranga neturi centrinės institucijos, kuri ją valdytų, sunku žinoti, kurios versijos naudojamos dažniausiai. Pavadinimai galėtų būti atnaujinami taip dažnai, kad organizacijos IT komandos nesupranta, kad jos turi seną versiją, turinčią rimtų saugumo problemų.

Trečiųjų šalių programinės įrangos bibliotekos kelia atviro kodo saugumo riziką

Kūrėjai dažnai taupo laiką naudodami trečiųjų šalių programinės įrangos bibliotekas. Tai daugkartinio naudojimo komponentai, kuriuos sukūrė kitas subjektas, nei pirminis teikėjas. Vienas privalumas yra tas, kad jie leidžia naudoti iš anksto patikrintą kodą.

Populiarios bibliotekos yra išbandomos įvairiose aplinkose, naudojant įvairius naudojimo atvejus. Natūralus naudojimo dažnis reiškia, kad apie klaidas pranešama dažnai. Tačiau tai nebūtinai reiškia, kad trečiųjų šalių programinės įrangos bibliotekos turi aukštesnį saugumą, net kai diskutuojame apie tas, kurios susijusios su atvirojo kodo programine įranga.

Vienas tyrimas nustatė, kad beveik 80 procentų atvejų trečiųjų šalių atvirojo kodo programinės įrangos bibliotekos nėra atnaujinamos, kai kūrėjai jas prideda prie kodų bazių. Tyrime dalyvavę mokslininkai įspėjo, kaip atnaujinimų trūkumas gali turėti įtakos.

Kai kurie naujausi ir plačiausiai naudojami programinės įrangos pavadinimai kūrimo metu remiasi trečiųjų šalių programinės įrangos bibliotekomis. Vienas trūkumas gali turėti įtakos visiems produktams, susijusiems su problemine biblioteka. Dar viena nerimą kelianti išvada yra ta, kad daugiau nei ketvirtadalis apklaustų kūrėjų nežinojo ar nebuvo tikri apie bet kokį oficialų procesą, naudojamą trečiųjų šalių bibliotekoms pasirinkti.

Susijęs: Kas yra „Zero Day“ išnaudojimas ir kaip veikia atakos?

Tačiau teigiama tyrimo išvada buvo ta, kad programinės įrangos atnaujinimai pašalina 92 ​​procentus trečiųjų šalių programinės įrangos bibliotekų trūkumų. Be to, 69 procentams naujinių reikia tik nedidelio versijos pakeitimo ar dar mažesnio masto.

Dar daugiau žadėjo tai, kad kūrėjai per vieną valandą galėjo ištaisyti 17 procentų šių trūkumų. Tai reiškia, kad šių atvirojo kodo bibliotekų problemų sprendimas ne visada yra labai daug laiko reikalaujantis ar sudėtingas.

Kaip klaidų sprendimo greitis veikia atvirojo kodo saugumą

Vienas iš pagrindiniai pasenusios programinės įrangos klausimai vartotojams kyla galimų saugumo trūkumų rizika. Idealiame pasaulyje kūrėjai pastebėjo ir ištaisė visas klaidas, kol programinė įranga nepasiekė visuomenės. Vis dėlto tai nerealus tikslas.

Kitas geriausias variantas yra išleisti programinės įrangos pataisas netrukus po to, kai paaiškės pažeidžiamumas. Saugumo tyrėjai dažnai įspėja uždaro kodo programinės įrangos tiekėjus apie problemas, kurias reikia greitai išspręsti. Tačiau žmonės, kuriantys tuos produktus, vadovaujasi vyresniųjų pasirinktais išleidimo grafikais.

Sprendimų priėmėjai taip pat ne visada teikia pirmenybę visiems pažeidžiamumams. Kai kurie iš jų po mėnesio ar metų lieka be pirminio identifikavimo. Susijusi problema yra ta, kad daugelis kūrėjų kovoja su per dideliu ar nesubalansuotu darbo krūviu, kuris gali labai apriboti jų galimybes greitai pašalinti klaidas, net turint geriausių ketinimų.

Dar viena apklausa nustatė, kad 38 procentai kūrėjų ketvirtadalį turimo laiko praleidžia taisydami programinės įrangos klaidas. Apie 26 procentai respondentų teigė, kad užduotis užima pusę jų darbo dienos. Kita akį rėžianti išvada buvo ta, kad 32 procentai kūrėjų praleidžia iki 10 valandų per savaitę taisydami klaidas, užuot rašę kodą.

Kūrėjai imasi daugybės atsargumo priemonių, kad išvengtų probleminio kodo išleidimo. Pavyzdžiui, aprėptis nuo „Blue Sentry“ Aptarta, kaip „sandbox“ duomenų bazė pateikia veidrodinę gamybos aplinkos versiją ir bet kokius dabartinius diegimo ciklo pokyčius.

Interneto kūrimo profesionalai gali išmokti ir išbandyti dalykus be didelių neigiamų padarinių, turinčių įtakos visai komandai. Tačiau klaidų vis tiek pasitaiko.

Kadangi atvirojo kodo programinėje įrangoje yra visos kūrėjų bendruomenės, siekiančios ją tobulinti, tai yra didelis tikimybė, kad kažkas, turintis reikiamų įgūdžių ir tvarkaraštį, gali nukreipti klaidą ir ją gauti fiksuotas. Tai gali reikšti, kad žinomi pažeidžiamumai nelieka nepaisyti tol, kol jie gali turėti uždaro kodo programinės įrangos pavadinimą.

Programinės įrangos priklausomybės egzistuoja, kai viena operacinė sistema veikia kita. Kalbant apie atviro kodo programinę įrangą, dėl greito keitimo tempo kūrėjams dažnai sunku suprasti, ar kuri nors jų priklausomybė susijusi su pasenusiomis versijomis.

Tačiau „Google“ neseniai išleido žiniatinklio vizualizavimo įrankį, pavadintą Atvirojo kodo įžvalgos spręsti tą problemą. Vartotojams pateikiama su programinės įrangos paketu susijusių komponentų apžvalga.

Kadangi informacijoje yra išsami informacija apie priklausomybes ir jų savybes, kūrimo specialistai aiškiau supranta, ar pasenusi atviro kodo programinė įranga gali sukelti problemų vėliau.

Be priklausomybės grafikų žiūrėjimo, žmonės gali naudoti palyginimo įrankį, kuris parodo, kaip skirtingos paketų versijos gali paveikti priklausomybes. Kartais naujesnė sprendžia saugumo problemą. Siūlydama šį įrankį, „Google“ siekia palengvinti kūrėjams daugiau sužinoti apie tai, kaip jie naudoja atvirojo kodo programinę įrangą.

Turėdami tas naujas žinias, galite pagerinti saugumą ir bendrą naudojimąsi.

Atvirojo kodo programinė įranga: nėra visiškas saugumo sprendimas

Ši apžvalga parodo, kodėl atvirojo kodo programinė įranga ne visada yra saugiausias pasirinkimas, palyginti su uždaro kodo programine įranga. Nepaisant to, yra daug gerų dalykų ir apie atvirojo kodo programinę įrangą.

Žmonės, ketinantys jį naudoti dėl asmeninių priežasčių ar savo organizacijose, turėtų pasverti „už“ ir „prieš“, kad priimtų sprendimą.

6 geriausios atvirojo kodo programos, skirtos „Windows“

Ieškote nemokamų atvirojo kodo programų, skirtų „Windows“? Štai keletas geriausių programinės įrangos, kurias galite įdiegti.

Skaitykite toliau

Apie autorių