Kui turvaline on avatud lähtekoodiga tarkvara?

Kui inimesed teevad tarkvaravalikuid, on turvalisus sageli nende prioriteetide loetelu ülaosas. Ja kui seda pole, siis peakski olema! Kuid tavaliselt imestatakse suletud ja avatud lähtekoodiga tarkvara erinevuste üle.

Mis vahe on siis avatud ja suletud lähtekoodil? Kas avatud lähtekoodiga tarkvara on tõesti turvaline?

Avatud lähtekoodiga vs. Suletud lähtekoodiga tarkvara

Inimesed teevad avatud lähtekoodiga tarkvara kõigile vabalt kättesaadavaks. Avalikkus saab seda kasutada, kopeerida, muuta ja levitada. Lisaks, nagu nimigi ütleb, näeb igaüks lähtekoodi.

Suletud lähtekoodiga tarkvara sisaldab rangelt kaitstud koodi, mida ainult volitatud inimesed näevad või muudavad. Hind katab inimeste õiguse seda kasutada, kuid ainult lõppkasutaja litsentsilepingu piires.

Avatud lähtekoodiga nähtavusel on turvalisuse plusse ja miinuseid

Igaühe võime näha lähtekoodi toob avatud lähtekoodiga turvalisusele suuri eeliseid. Arengust saab kogukonna tegevus, milles osalevad inimesed üle kogu maailma.

See tähendab, et vigu märgatakse ja parandatakse sageli kiiremini, kui koodi uuriks vaid palju väiksem isikute rühm.

Häkkerid siiski kasutada ära ligipääsetavust ka avatud lähtekoodiga koodi. Nad võiksid seda kasutada rünnakute kavandamiseks või haavatavuste teadmiseks võtmiseks.

Arendajad, kellel on tõeline huvi avatud lähtekoodiga tarkvara täiustamise vastu, käsitlevad leitud probleeme või vähemalt teatavad probleemidest kellelegi, kellel on oskusi nende lahendamiseks. Igaüks, kellel on pahatahtlikke kavatsusi, loodab, et asjad jäävad võimalikult pikaks ajaks märkamatuks.

Need reaalsused panevad küberjulgeoleku spetsialistid hoiatama, et avatud lähtekoodiga tarkvara võib organisatsioone ohtu seada. Üks küsimus on see, et kurjategijad said koodi näha ja sinna ohtlikku sisu süstida. Teise võimalusena võivad need osapooled sihtida ettevõtteid millel pole rangeid tavasid piisava sagedusega tarkvarapaigutuste allalaadimiseks.

Kuna avatud lähtekoodiga tarkvaral pole seda haldavat keskasutust, on kellelgi raske teada, milliseid versioone kõige sagedamini kasutatakse. Pealkirju võiks uuendada nii sageli, et organisatsiooni IT-meeskonnad ei saa aru, et neil on vana versioon, millel on tõsised turbeprobleemid.

Kolmandate osapoolte tarkvararaamatukogud kujutavad endast avatud lähtekoodiga turvariske

Arendajad kasutavad aja kokkuhoiuks sageli kolmandate osapoolte tarkvararaamatukogusid. Need on korduvkasutatavad komponendid, mille on välja töötanud mõni muu ettevõte kui algne pakkuja. Üks eelis on see, et need võimaldavad kasutada eelkontrollitud koodi.

Populaarseid raamatukogusid testitakse paljudes keskkondades mitmesuguste kasutusjuhtumite jaoks. Kasutamise loomulik sagedus tähendab, et vigadest teatatakse sageli. Kuid see ei tähenda tingimata, et kolmandate osapoolte tarkvarakogudel on kõrgem turvalisus isegi siis, kui arutame avatud lähtekoodiga tarkvaraga seotud teemasid.

Üks uuring leidis, et peaaegu 80 protsendil juhtudel ei värskendata kolmanda osapoole avatud lähtekoodiga tarkvara teeke pärast seda, kui arendajad on need koodibaasidesse lisanud. Uuringus osalenud teadlased hoiatasid, kuidas värskenduste puudumine võib avaldada lisamõju.

Mõni uusim ja laialt kasutatav tarkvara pealkiri tugineb arendamisel kolmandate osapoolte tarkvarakogudele. Üks viga võib mõjutada kõiki probleemse teegiga seotud tooteid. Teine murettekitav järeldus on see, et enam kui veerand küsitletud arendajatest ei olnud teadlikud kolmandate osapoolte raamatukogude valimisel kasutatavast ametlikust protsessist ega olnud selles kindel.

Seotud: Mis on nullipäevane ärakasutamine ja kuidas rünnakud toimivad?

Uuringu positiivne järeldus oli aga see, et tarkvarauuendused parandavad 92 protsenti kolmandate osapoolte tarkvararaamatukogude puudustest. Lisaks nõuab 69 protsenti värskendustest vaid väikest versiooni muutmist või midagi veelgi vähem ulatuslikku.

Veel paljulubavam oli see, et arendajad suutsid ühe tunni jooksul parandada 17 protsenti nendest vigadest. See tähendab, et nende avatud lähtekoodiga raamatukogu probleemide lahendamine pole alati äärmiselt ajamahukas ega keeruline.

Kuidas veaparanduse kiirus mõjutab avatud lähtekoodiga turvalisust

Üks neist vananenud tarkvara peamised probleemid on see, et see ohustab kasutajaid võimalike turvavigade ohus. Ideaalses maailmas märkaksid ja parandaksid arendajad kõiki vigu enne, kui tarkvara avalikkuse ette jõuab. See on siiski ebareaalne eesmärk.

Parim järgmine võimalus on tarkvarapaigad välja anda varsti pärast haavatavuste ilmnemist. Turbeuurijad hoiatavad suletud lähtekoodiga tarkvara pakkujaid sageli probleemide eest, mis vajavad kiiret lahendamist. Neid tooteid arendavad inimesed järgivad siiski ülemuste valitud ajakavasid.

Ka otsustajad ei prioriteeri alati kõiki haavatavusi. Mõni jääb pärast esialgse tuvastamise saamist kuude või aastate jooksul aadressita. Seotud probleem on see, et paljud arendajad võitlevad liigse või tasakaalustamata töökoormusega, mis võib tõsiselt piirata nende suutlikkust vigu kiiresti parandada isegi parimate kavatsuste korral.

Teine uuring leidis, et 38 protsenti arendajatest veedab veerandi oma olemasolevast ajast tarkvaravigade parandamiseks. Umbes 26 protsenti vastanutest ütles, et ülesanne võtab poole nende tööpäevadest. Teine pilkupüüdev leid oli, et 32 ​​protsenti arendajatest veedavad koodi kirjutamise asemel kuni 10 tundi nädalas vigade parandamist.

Arendajad võtavad probleemse koodi väljaandmise vältimiseks palju ettevaatusabinõusid. Näiteks katvus alates Sinine valvur arutati, kuidas liivakasti andmebaas annab tootmiskeskkonna peegliversiooni ja kõik praegused juurutamistsükli muudatused.

Veebiarenduse spetsialistid saavad õppida ja katsetada asju ilma suuremate negatiivsete tagajärgedeta, mis mõjutavad tervet meeskonda. Kuid vigu ikka juhtub.

Kuna avatud lähtekoodiga tarkvaral töötavad selle arendamiseks terved arenduskogukonnad, on see kõrge võimalus, et keegi, kellel on õiged oskused ja ajakava, saab vea sihtida ja selle kätte saada fikseeritud. See võib tähendada, et teadaolevad haavatavused ei jää lahendamata seni, kuni nad võivad kasutada suletud lähtekoodiga tarkvara pealkirja.

Tarkvarasõltuvused on olemas, kui üks operatsioonisüsteem tugineb teisele. Mis puutub avatud lähtekoodiga tarkvarasse, siis muutuste kiire tempo tõttu on arendajatel sageli keeruline mõista, kas mõni nende sõltuvus puudutab vananenud versioone.

Kuid Google andis hiljuti välja veebipõhise visualiseerimise tööriista nimega Avatud lähtekoodiga statistika selle probleemi lahendamiseks. See annab kasutajatele ülevaate tarkvarapaketiga seotud komponentidest.

Kuna teave sisaldab üksikasju sõltuvuste ja nende omaduste kohta, saavad arendustöötajad selgema ülevaate sellest, kas vananenud avatud lähtekoodiga tarkvara võib hiljem probleeme tekitada.

Lisaks sõltuvusgraafikute vaatamisele saavad inimesed kasutada võrdlustööriista, mis näitab, kuidas erinevad paketiversioonid sõltuvust võivad mõjutada. Mõnikord tegeleb turvaküsimusega uuem. Selle tööriista pakkumisega soovib Google lihtsustada arendajatel teadlikkust sellest, kuidas nad avatud lähtekoodiga tarkvara kasutavad.

Nende uute teadmiste olemasolu võib parandada turvalisust ja üldist kasutatavust.

Avatud lähtekoodiga tarkvara: pole täielik turvalisuse lahendus

See ülevaade näitab, miks avatud lähtekoodiga tarkvara pole suletud lähtekoodiga tarkvaraga võrreldes alati kõige turvalisem valik. Sellegipoolest on ka avatud lähtekoodiga tarkvara kohta palju head.

Inimesed, kes kavatsevad seda kasutada isiklikel põhjustel või oma organisatsioonis, peaksid otsuse langetamiseks kaaluma plusse ja miinuseid.

6 parimat avatud lähtekoodiga rakendust Windowsi jaoks

Kas otsite Windowsi jaoks tasuta avatud lähtekoodiga rakendusi? Siin on mõned parimad tarkvara, mida saate installida.

Loe edasi

Autori kohta