Amikor az emberek szoftveres döntéseket hoznak, a biztonság gyakran a prioritási listáik tetején van. És ha nem, akkor annak kell lennie! Azonban általában a zárt és a nyílt forráskódú szoftverek közötti különbségekre gondolnak.

Tehát mi a különbség a nyílt és a zárt forráskód között? Tényleg biztonságos a nyílt forráskódú szoftver?

Nyílt forráskódú vs. Zárt forrású szoftver

Az emberek mindenki számára szabadon hozzáférhetővé teszik a nyílt forráskódú szoftvereket. A nyilvánosság felhasználhatja, másolhatja, módosíthatja és terjesztheti. Ráadásul, ahogy a neve is sugallja, bárki láthatja a forráskódot.

A zárt forráskódú szoftverek szigorúan őrzött kódot tartalmaznak, amelyet csak az arra jogosultak láthatnak vagy változtathatnak meg. A költség fedezi az emberek használatának jogát, de csak a végfelhasználóra vonatkozó licencszerződés határain belül.

A nyílt forráskódú láthatóságnak vannak biztonsági előnyei és hátrányai

A nyílt forráskódú biztonság szempontjából nagy előnyökkel jár, hogy bárki képes megismerni a forráskódot. A fejlesztés közösségi erőfeszítéssé válik, amelyben a világ minden tájáról érkeztek emberek.

Ez azt jelenti, hogy a hibákat gyakran gyorsabban észlelik és javítják, mintha csak az egyének sokkal kisebb csoportja vizsgálná a kódot.

Hackerek azonban kiaknázza az akadálymentességet nyílt forráskódú kódot is. Használhatják támadások tervezésére vagy a sebezhetőségek tudomásulvételére.

A nyílt forráskódú szoftverek fejlesztése iránt valódi érdeklődésű fejlesztők foglalkoznak a megtalált problémákkal, vagy legalábbis jelentik azokat a problémákat, akik rendelkeznek a kezelésükhöz szükséges képességekkel. Aki rosszindulatú szándékú, reméli, hogy a dolgok a lehető leghosszabb ideig észrevétlenek maradnak.

Ezek a realitások a kiberbiztonsági szakembereket arra figyelmeztetik, hogy a nyílt forráskódú szoftverek veszélyeztethetik a szervezeteket. Az egyik kérdés az, hogy a bűnözők láthatták a kódot, és veszélyes tartalmat juttathattak bele. Alternatív megoldásként ezek a felek megcélozhatják a vállalatokat amelyeknek nincs szigorú gyakorlata elegendő gyakoriságú szoftverjavítások letöltéséhez.

Mivel a nyílt forráskódú szoftvereknek nincs központi felügyeletük, bárki számára nehéz megtudni, hogy mely verziókat használják leggyakrabban. A címeket olyan gyakran lehetne frissíteni, hogy egy szervezet informatikai csapatai nem veszik észre, hogy régi verziójuk van, súlyos biztonsági problémákkal.

Harmadik féltől származó szoftverkönyvtárak nyílt forráskódú biztonsági kockázatokat jelentenek

A fejlesztők időmegtakarítás céljából gyakran harmadik féltől származó szoftverkönyvtárakat használnak. Újrafelhasználható összetevők, amelyeket az eredeti szolgáltatótól eltérő entitás fejlesztett ki. Az egyik előny, hogy lehetővé teszik az előre tesztelt kód használatát.

A népszerű könyvtárakat számos környezetben tesztelik, sokféle felhasználási esetre. A használat természetes gyakorisága azt jelenti, hogy a hibákat gyakran jelentik. Ez azonban nem feltétlenül jelenti azt, hogy a harmadik féltől származó szoftverkönyvtárak biztonsága magasabb, még akkor is, ha a nyílt forráskódú szoftverekhez társítottakat tárgyaljuk.

Egy tanulmány megállapította, hogy az esetek csaknem 80 százalékában a nyílt forráskódú szoftverek harmadik féltől származó könyvtárai nem frissülnek, miután a fejlesztők hozzáadták őket a kódbázisokhoz. A tanulmányban részt vevő kutatók arra figyelmeztettek, hogy a frissítések hiányának milyen hatása lehet.

A legújabb és széles körben használt szoftvercímek egy része harmadik féltől származó szoftverkönyvtárakra támaszkodik a fejlesztés során. Az egyik hiba a problémás könyvtárhoz tartozó összes terméket érintheti. Egy másik aggasztó megállapítás az, hogy a megkérdezett fejlesztők több mint egynegyede nem volt tisztában semmilyen hivatalos eljárással, amelyet harmadik fél könyvtárainak kiválasztására használtak.

Összefüggő: Mi a nulladik napos kihasználás és hogyan működnek a támadások?

A tanulmány pozitív következtetése azonban az volt, hogy a szoftverfrissítések javítják a külső szoftverkönyvtárak hibáinak 92 százalékát. Ezenkívül a frissítések 69 százaléka csak kisebb verziómódosítást igényel, vagy még ennél is kevésbé kiterjedtet.

Ennél is ígéretesebb volt, hogy a fejlesztők ezen hibák 17 százalékát egy óra alatt kijavíthatták. Ez azt jelenti, hogy ezeknek a nyílt forráskódú könyvtáraknak a kezelése nem mindig rendkívül időigényes vagy bonyolult.

Hogyan befolyásolja a hibafelbontás sebessége a nyílt forráskódú biztonságot

Az egyik az elavult szoftverekkel kapcsolatos fő kérdések az, hogy a felhasználókat veszélyezteti a lehetséges biztonsági hibákkal. Egy ideális világban a fejlesztők minden hibát észrevesznek és kijavítanak, mielőtt a szoftver eljutna a nyilvánossághoz. Ez azonban irreális cél.

A következő legjobb megoldás a szoftverjavítások kiadása a sebezhetőségek nyilvánvalóvá válása után. A biztonsági kutatók gyakran figyelmeztetik a zárt forráskódú szoftverek szolgáltatóit a gyors megoldást igénylő problémákra. Azonban a termékeket fejlesztő emberek a felettesek által kiválasztott kiadási ütemtervet követik.

A döntéshozók sem mindig prioritásként kezelik az összes sebezhetőséget. Egyesek hónapokig vagy évekig nem foglalkoznak a kezdeti azonosítás bekövetkeztével. Kapcsolódó kérdés, hogy sok fejlesztő túlzott vagy kiegyensúlyozatlan terheléssel küzd, ami a legjobb szándékkal is súlyosan korlátozhatja a hibák gyors kijavításának képességét.

Újabb felmérés megállapította, hogy a fejlesztők 38 százaléka a rendelkezésre álló idejének egynegyedét szoftverhibák kijavítására fordítja. A válaszadók mintegy 26 százaléka szerint a feladat munkanapjainak felét veszi igénybe. Egy másik figyelemfelkeltő megállapítás az volt, hogy a fejlesztők 32 százaléka hetente akár 10 órát is eltöltött a hibák javításával a kód írása helyett.

A fejlesztők számos óvintézkedést megtesznek a problémás kód kiadásának elkerülése érdekében. Például lefedettség Kék őrszem megbeszéltük, hogy a sandbox adatbázis hogyan adja meg a gyártási környezet és az aktuális telepítési ciklus változásainak tükrös változatát.

A webfejlesztési szakemberek megtanulhatják és tesztelhetik a dolgokat anélkül, hogy komolyabb káros következmények lennének, amelyek egy egész csapatot érintenek. De hibák még mindig előfordulnak.

Mivel a nyílt forráskódú szoftvereknek egész fejlesztői közösségek dolgoznak a fejlesztésükön, ezért ez magas annak esélye, hogy a megfelelő készségekkel és ütemtervvel rendelkező személy megcélozhatja a hibát, és megszerezheti azt rögzített. Ez azt jelentheti, hogy az ismert sebezhetőségek nem maradnak kezeletlenek mindaddig, amíg egy zárt forráskódú szoftver címmel nem.

Szoftverfüggőségek akkor állnak fenn, amikor az egyik operációs rendszer egy másik működésére támaszkodik. Ami a nyílt forráskódú szoftvereket illeti, a gyors változások gyakran megnehezítik a fejlesztők számára annak megértését, hogy valamelyik függőségük elavult verziókat érint-e.

A Google azonban nemrég kiadott egy webalapú vizualizációs eszközt Nyílt forráskódú betekintés hogy megoldja ezt a problémát. Áttekintést nyújt a felhasználóknak a szoftvercsomaghoz kapcsolódó összetevőkről.

Mivel az információk tartalmazzák a függőségek és tulajdonságaik részleteit, a fejlesztési szakemberek világosabb képet kapnak arról, hogy az elavult nyílt forráskódú szoftverek később okozhatnak-e problémákat.

A függőségi grafikonok megtekintése mellett az emberek használhatnak összehasonlító eszközt, amely megmutatja, hogy a különböző csomagverziók hogyan befolyásolhatják a függőségeket. Előfordul, hogy egy újabb megold egy biztonsági kérdést. Ennek az eszköznek a felajánlásával a Google célja, hogy megkönnyítse a fejlesztők számára, hogy jobban megismerjék a nyílt forráskódú szoftverek használatát.

Ezen új ismeretek birtokában javulhat a biztonság és az általános használhatóság.

Nyílt forráskódú szoftver: Nem teljes biztonsági megoldás

Ez az áttekintés megmutatja, hogy a nyílt forráskódú szoftverek miért nem mindig a legbiztonságosabbak a zárt forráskódú szoftverekhez képest. Ennek ellenére sok jó dolog van a nyílt forráskódú szoftverekkel kapcsolatban is.

Azoknak az embereknek, akik személyes okokból vagy szervezeteiken belül szándékoznak használni, mérlegelniük kell az előnyöket és hátrányokat a döntéshozatal érdekében.

Email
A 6 legjobb nyílt forráskódú alkalmazás a Windows számára

Ingyenes nyílt forráskódú alkalmazásokat keres a Windows rendszerhez? Íme néhány a telepíthető legjobb szoftverek közül.

Olvassa el a következőt

Kapcsolódó témák
  • Biztonság
  • Online biztonság
  • Nyílt forráskód
A szerzőről
Shannon Flynn (6 cikk megjelent)

Shannon egy tartalomalkotó, Philly, PA. Körülbelül 5 éve ír a műszaki területen, miután informatikus diplomát szerzett. Shannon a ReHack Magazine ügyvezető szerkesztője, és olyan témákkal foglalkozik, mint a kiberbiztonság, a játék és az üzleti technológia.

Shannon Flynn további alkotásai

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.