Kāpēc atvērtā koda programmatūra ir drošāka?
Atvērtā koda programmatūrai jau sen ir bijusi drošāka reputācija nekā tās slēgtā pirmkoda kolēģiem. Bet kas ir tas, kas padara atvērtā koda programmatūru drošāku? Redditor nesen uzdeva šo jautājumu un ieguva dažas interesantas atbildes.
Parasymphatetic uzdeva savu jautājumu Linux subbreddit:
Tāpēc ir izplatīts arguments, ka Linux un atvērtā pirmkoda programmatūra ir drošāka nekā viņu Windows kolēģi. Tagad kā atvērtā koda un pilnīgam Linux iesācējam man ir šāds jautājums: Kā tā?
Kā jūs zināt, ka kompilētā programma, kuru lejupielādējat, ir tieši tāda pati kā avota kods, ko viņi sniedza? Un vai tiešām kāds pārbauda desmit tūkstošus koda rindu, ko kāds ir sniedzis? Vai jūs?
Un vai jūs neuzticat Valve un Blender cilvēkiem tādu pašu uzticību, kā saraustie Windows lietotāji uzticas Microsoft?
Vairāk Reddit
Viņa kolēģi Linux redditors atbildēja ar savām domām par to, kāpēc atvērtā koda programmatūra ir drošāka:
Bušvekers: ”Tas viss ir pieejams pārbaudei. Kodu var izveidot pats, ieskaitot kodolu. Tagad par kompilatoru aizmugurējām durvīm tas ir cits stāsts. ”
AiwendilH: "Nav tā, ka atvērtā koda programmatūra noteikti būtu labāk izstrādāta ... tas ir tas, ka bez pirmkoda nav iespējams redzēt, ko programma dara. Tātad atvērtā koda programmatūra tiek uzskatīta par drošāku, jo tā ir vienīgā veida programmatūra, kuras drošību vispār var pārbaudīt, nevienam akli neuzticoties ... visu, kas nav atvērtā koda, nevar pārbaudīt, un tas ir jāredz kā nedroši. ”
Daemonpenguin: ”Atvērtais kods nav automātiski drošāks par slēgto. Atšķirība ir ar atvērto pirmkodu, kuru varat pats pārbaudīt (vai maksāt kādam, lai pārbaudītu jūsu vietā), vai kods ir drošs. Izmantojot slēgta pirmkoda programmas, jums jāuzticas, ka koda fragments darbojas pareizi, atklātais kods ļauj kodu pārbaudīt un pārbaudīt, vai tas darbojas pareizi.
Atvērtais kods ļauj ikvienam labot arī bojātu kodu, savukārt slēgto pirmkoda problēmu var novērst tikai pārdevējs.
Laika gaitā tas nozīmē, ka atvērtā pirmkoda projekti (piemēram, Linux kodols) mēdz kļūt drošāki cilvēki, jo vairāk cilvēku testē un labo kodu.
Kļūdās ikviens, kurš sniedz vispārīgu paziņojumu, piemēram, “Atvērtā koda programmatūra ir drošāka”. Viņiem būtu jāsaka: "Atvērtā koda programmatūru var pārbaudīt un labot, ja ir šaubas par tās uzvedību vai drošību."
Vai kāds pārbauda kodu? Daudzi cilvēki to dara, it īpaši lielākos projektos, piemēram, Linux, C bibliotēkā, Firefox utt. Vai es? Parasti nē, bet es esmu veicis dažas revīzijas par kodu, kuru palaidu, lai pārliecinātos, ka tas darbojas pareizi.
Es parasti neuzticos Microsoft vai Valve vai jebkurai citai slēgta pirmkoda programmatūrai. Un es patiešām patiešām uzticos tikai atvērtā koda projektiem, kas ir bijuši proaktīvi drošības jomā. ”
Toemme: "Pašlaik Debian mēģina panākt, lai viņu pakotnes tiktu uzbūvētas reproducējami [1], lai jūs varētu pārbaudīt, vai iegūtais binārs fails patiešām ir veidots no avota koda, kuru viņi jums parāda."
Eingaica: ”Lielākā daļa (ja ne visi) bināro sadalījumu apkopo programmatūru un neizmanto iepriekš sastādītus bināros failus, ko nodrošina izstrādātāji. Vismaz tas attiecas uz bezmaksas / atvērtā koda programmatūru. Vai jūs varat uzticēties tam, ka binārā versija, ko saņemat no sava izplatītāja, ir identiska tai, ko jūs iegūtu, sastādot pats, ir atšķirīga problēma (skat., Piemēram, Debian reproducējamo būvju projektu). "
OMGTokins: ”... tā ir taisnība, ka jūs instalējat bināros failus un ļoti uzticaties augšpusē. Tiklīdz citi ir minējuši, būs reproducējami būvējumi, taču, par laimi, lielākajai daļai instalēto programmatūru ir git repozitorijs, kas ļaus jums izvilkt pirmkodu, lai pielāgotos un apkopotu sevi. "
Atsūti man: ”Paranoijas līmenis, par kuru jūs runājat, ir diezgan tālu. Slēgtā pirmkoda programmatūras problēma, ciktāl tas attiecas uz drošību, ir tā, ka tikai daži cilvēki var apskatīt pirmkodu un mēģināt to novērst. FOSS ir daudz vairāk izstrādātāju, kuri, cerams, meklē kodu, tādējādi radot vairāk kļūdu labojumu. ”
Timantijs: ”Šī ir tā lieta, ja vien jūs nevēlaties dublēt DAUDZUS slāņus, lai izveidotu kompilatorus, jums kaut kur jāsāk uzticēties. Turklāt ir skaidrs un vienkāršs fakts, ka lielākā daļa no mums vienkārši nav tik svarīgi / interesanti izspiegot. ”
Justcs: "Licence nenosaka koda kvalitāti."
Whotookmynick: ”... nevarat uzticēties lielam koda apjomam citam, varat izmantot tādus rīkus kā vadu haizivs, strace utt
Apple un MS (un vārsts) ir ASV bāzēti uzņēmumi, tāpēc, ja viņu valdība viņiem liktu darīt kaut ko, kas viņiem būtu jāievēro. Cita lieta ir Vācijas valdība, kas faktiski veido likumīgi trojas zirgus.
Kas attiecas uz personīgo drošību ārpus tā, jūsu maršrutētājs filtrē lielāko daļu draudu, ja vien jūsu dators pats neatver portu, jums vajadzētu būt labi, ja linux / bsd X var atvērt, sshd atver vienu, vnc, skype / irc / neatkarīgi, bet viņiem ir lai ievainojamības būtu izmantojamas savienojumā ”
Vairāk Reddit
