Atunci când oamenii fac alegeri software, securitatea este adesea aproape de topul listelor lor de priorități. Și dacă nu este, ar trebui să fie! Cu toate acestea, ei se întreabă în mod obișnuit despre diferențele dintre software-urile închise și cele open-source.
Deci, care este diferența dintre sursa deschisă și cea închisă? Software-ul open-source este cu adevărat sigur?
Open-Source vs. Software cu sursă închisă
Oamenii pun software-ul open-source gratuit la dispoziția tuturor. Publicul îl poate utiliza, copia, modifica și redistribui. În plus, după cum sugerează și numele, oricine poate vedea codul sursă.
Software-ul cu sursă închisă oferă un cod bine protejat, pe care numai persoanele autorizate îl pot vedea sau modifica. Costul acoperă dreptul oamenilor de a-l utiliza, dar numai în limitele contractului de licență pentru utilizatorul final.
Vizibilitatea open-source are avantaje și dezavantaje de securitate
Capacitatea oricui de a vedea codul sursă aduce avantaje majore pentru securitatea open-source. Dezvoltarea devine un efort comunitar la care participă oameni din întreaga lume.
Aceasta înseamnă că erorile sunt adesea identificate și remediate mai repede decât dacă doar un grup mult mai mic de persoane ar examina codul.
Cu toate acestea, hackerii valorificați accesibilitatea de cod open-source. L-ar putea folosi pentru a planifica atacuri sau pentru a lua act de vulnerabilități.
Dezvoltatorii cu un interes real în îmbunătățirea software-ului open-source abordează problemele pe care le găsesc sau cel puțin raportează problemele cuiva cu abilitățile de a le aborda. Oricine are intenții rău intenționate speră că lucrurile vor trece neobservate cât mai mult timp posibil.
Aceste realități determină profesioniștii în securitate cibernetică să avertizeze că software-ul open-source poate pune organizațiile în pericol. O problemă este că infractorii ar putea vedea codul și le pot introduce conținut periculos. Alternativ, acele părți ar putea viza companii care nu au practici stricte pentru descărcarea patch-urilor software cu o frecvență suficientă.
Deoarece software-ul open-source nu are o autoritate centrală care îl gestionează, este dificil pentru cineva să știe ce versiuni sunt utilizate cel mai des. Titlurile ar putea fi actualizate atât de frecvent încât echipele IT ale unei organizații nu își dau seama că au o versiune veche cu probleme grave de securitate.
Bibliotecile software terțe prezintă riscuri de securitate open-source
Dezvoltatorii folosesc adesea biblioteci software de la terți pentru a economisi timp. Sunt componente reutilizabile dezvoltate de o altă entitate decât furnizorul original. Un avantaj este că permit utilizarea codului pre-testat.
Bibliotecile populare sunt testate în numeroase medii pentru o gamă largă de cazuri de utilizare. Frecvența naturală de utilizare înseamnă că erorile sunt raportate des. Cu toate acestea, asta nu înseamnă neapărat că bibliotecile software de la terțe părți au o securitate superioară, chiar și atunci când se discută despre cele asociate cu software-ul open-source.
Un studiu a constatat că, în aproape 80 la sută din cazuri, bibliotecile terță parte pentru software-ul open-source nu sunt actualizate după ce dezvoltatorii le-au adăugat la baze de cod. Cercetătorii implicați în studiu au avertizat cum lipsa actualizărilor ar putea avea efecte secundare.
Unele dintre cele mai noi și utilizate pe scară largă titluri de software se bazează pe biblioteci de software terțe în timpul dezvoltării. Un defect ar putea afecta toate produsele asociate cu o bibliotecă problematică. O altă constatare îngrijorătoare este că mai mult de un sfert dintre dezvoltatorii chestionați nu știau sau nu erau siguri de vreun proces formal utilizat pentru selectarea bibliotecilor terțe.
Legate de: Ce este un exploatare Zero Day și cum funcționează atacurile?
Cu toate acestea, o concluzie pozitivă din studiu a fost că actualizările de software remediază 92 la sută din defectele din bibliotecile de software ale unor terți. În plus, 69% din actualizări necesită doar o modificare a versiunii minore sau ceva chiar mai puțin extins.
Și mai promițător a fost că dezvoltatorii ar putea remedia 17% din aceste defecte într-o oră. Asta înseamnă că abordarea acestor probleme de bibliotecă open-source nu este întotdeauna extrem de intensă sau complicată.
Cum afectează viteza de rezolvare a erorilor de securitate open-source
Unul dintre principalele probleme cu software-ul învechit este că lasă utilizatorii în pericol de potențiale defecte de securitate. Într-o lume ideală, dezvoltatorii ar observa și remedia toate erorile înainte ca software-ul să ajungă la public. Cu toate acestea, acesta este un obiectiv nerealist.
Următoarea cea mai bună opțiune este de a lansa patch-uri software la scurt timp după ce vulnerabilitățile devin evidente. Cercetătorii în materie de securitate alertează adesea furnizorii de software cu sursă închisă despre problemele care necesită remedieri rapide. Cu toate acestea, oamenii care dezvoltă aceste produse respectă programele de lansare alese de superiori.
Nici factorii de decizie nu acordă întotdeauna prioritate tuturor vulnerabilităților. Unele rămân neadresate luni sau ani după ce a avut loc identificarea inițială. O problemă conexă este aceea că mulți dezvoltatori se luptă cu sarcini de muncă excesive sau dezechilibrate care le pot limita sever capacitatea de a remedia erorile rapid, chiar și cu cele mai bune intenții.
Un alt sondaj a constatat că 38% dintre dezvoltatori își petrec un sfert din timpul disponibil pentru remedierea erorilor software. Aproximativ 26% dintre respondenți au spus că sarcina durează jumătate din zilele lor de lucru. O altă descoperire deschisă a fost că 32 la sută dintre dezvoltatori petrec până la 10 ore pe săptămână pentru a remedia erorile în loc să scrie cod.
Dezvoltatorii iau numeroase precauții pentru a evita eliberarea codului problematic. De exemplu, acoperirea de la Sentinel albastru a discutat despre modul în care o bază de date sandbox oferă o versiune oglindă a mediului de producție și orice schimbări curente ale ciclului de implementare.
Profesioniștii în dezvoltare web pot învăța și testa lucruri fără consecințe adverse majore care afectează o întreagă echipă. Dar bug-uri încă se întâmplă.
Deoarece software-ul open-source are comunități de dezvoltare întregi care lucrează pentru a-l îmbunătăți, există un nivel ridicat șansa ca cineva cu abilitățile potrivite și disponibilitatea programului să poată viza o eroare și să o primească fix. Acest lucru poate însemna că vulnerabilitățile cunoscute nu rămân nerezolvate atât timp cât ar putea avea un titlu de software cu sursă închisă.
Dependențele de software există atunci când un sistem de operare se bazează pe altul pentru a funcționa. Când vine vorba de software open-source, ritmul rapid al schimbărilor face adesea dificil pentru dezvoltatori să înțeleagă dacă vreuna dintre dependențele lor se referă la versiuni învechite.
Cu toate acestea, Google a lansat recent un instrument de vizualizare bazat pe web numit Open Source Insights pentru a rezolva această problemă. Oferă utilizatorilor o imagine de ansamblu asupra componentelor asociate cu un pachet software.
Deoarece informațiile includ detalii despre dependențe și proprietățile acestora, profesioniștii în dezvoltare își fac o idee mai clară dacă software-ul open-source învechit ar putea cauza probleme mai târziu.
Pe lângă examinarea graficelor dependenței, oamenii pot utiliza un instrument de comparație care arată modul în care diferite versiuni ale pachetelor pot afecta dependențele. Uneori, unul mai nou abordează o problemă de securitate. Oferind acest instrument, Google își propune să le faciliteze dezvoltatorilor să devină mai conștienți de modul în care utilizează software-ul open-source.
A avea cunoștințe noi ar putea îmbunătăți securitatea și utilizabilitatea generală.
Software open-source: nu este o soluție de securitate totală
Această prezentare generală arată de ce software-ul open-source nu este întotdeauna cea mai sigură alegere în comparație cu software-ul open-source. Cu toate acestea, există și multe lucruri bune despre software-ul open-source.
Persoanele care intenționează să o utilizeze din motive personale sau în cadrul organizațiilor lor ar trebui să cântărească argumentele pro și contra pentru a ajunge la o decizie.
Căutați aplicații open-source gratuite pentru Windows? Iată câteva dintre cele mai bune programe pe care le puteți instala.
Citiți în continuare
- Securitate
- Securitate online
- Sursa deschisa
Shannon este un creator de conținut situat în Philly, PA. Ea scrie în domeniul tehnologiei de aproximativ 5 ani după ce a absolvit o diplomă în IT. Shannon este editorul manager al revistei ReHack și acoperă subiecte precum securitatea cibernetică, jocurile și tehnologia afacerii.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.
