Keď sa ľudia rozhodnú pre softvér, bezpečnosť je často na vrchole ich zoznamov priorít. A ak nie je, malo by byť! Spravidla sa však čudujú nad rozdielmi medzi uzavretým a otvoreným softvérom.
Aký je teda rozdiel medzi otvoreným a uzavretým zdrojom? Je softvér typu open-source skutočne bezpečný?
Open-Source vs. Softvér s uzavretým zdrojom
Ľudia sprístupňujú softvér s otvoreným zdrojovým kódom každému voľne. Verejnosť ho môže používať, kopírovať, meniť a redistribuovať. Navyše, ako už názov napovedá, zdrojový kód môže vidieť ktokoľvek.
Softvér s uzavretým zdrojom obsahuje prísne strážený kód, ktorý môžu vidieť alebo meniť iba oprávnení ľudia. Náklady pokrývajú právo ľudí na jeho použitie, ale iba v medziach licenčnej zmluvy pre koncového používateľa.
Viditeľnosť otvoreného zdroja má klady a zápory zabezpečenia
Schopnosť kohokoľvek vidieť zdrojový kód prináša veľké výhody pre bezpečnosť open-source. Rozvoj sa stáva komunitným úsilím, ktorého sa zúčastňujú ľudia z celého sveta.
To znamená, že chyby sa často objavia a opravia rýchlejšie, ako keby kód preskúmala iba oveľa menšia skupina osôb.
Avšak hackeri zužitkovať prístupnosť open-source kódu. Mohli by to použiť na plánovanie útokov alebo na zaznamenanie zraniteľností.
Vývojári, ktorí majú skutočný záujem na zdokonalení softvéru s otvoreným zdrojovým kódom, sa zaoberajú problémami, ktoré nájdu, alebo aspoň nahlásia problémy niekomu, kto má zručnosti na ich riešenie. Každý, kto má škodlivé úmysly, dúfa, že veci zostanú čo najdlhšie bez povšimnutia.
Tieto skutočnosti spôsobujú, že odborníci v oblasti kybernetickej bezpečnosti varujú, že softvér typu open-source môže ohroziť organizácie. Jedným z problémov je, že zločinci mohli vidieť kódex a vložiť doň nebezpečný obsah. Tieto strany by sa prípadne mohli zamerať na spoločnosti ktoré nemajú prísne postupy na stiahnutie softvérových opráv s dostatočnou frekvenciou.
Pretože softvér typu open-source nemá žiadny centrálny orgán, ktorý by ho spravoval, je pre každého ťažké vedieť, ktoré verzie sa používajú najčastejšie. Názvy sa dajú aktualizovať tak často, že IT tímy organizácie si neuvedomujú, že majú starú verziu so závažnými problémami so zabezpečením.
Softvérové knižnice tretích strán predstavujú bezpečnostné riziká otvoreného zdroja
Vývojári často používajú softvérové knižnice tretích strán, aby šetrili čas. Sú to opakovane použiteľné komponenty vyvinuté entitou inou ako pôvodný poskytovateľ. Jednou z výhod je, že umožňujú použitie vopred otestovaného kódu.
Populárne knižnice sú testované v mnohých prostrediach pre širokú škálu prípadov použitia. Prirodzená frekvencia používania znamená, že chyby sa hlásia často. To však nevyhnutne nemusí znamenať, že softvérové knižnice tretích strán majú vynikajúce zabezpečenie, aj keď diskutujeme o tých, ktoré súvisia so softvérom otvoreného zdroja.
Jedna štúdia zistil, že v takmer 80 percentách prípadov sa knižnice tretích strán pre softvér s otvoreným zdrojovým kódom neaktualizujú, keď ich vývojári pridajú do kódových báz. Vedci zapojení do štúdie varovali, ako môže mať nedostatok aktualizácií vedľajšie účinky.
Niektoré z najnovších a najbežnejšie používaných softvérových titulov sa pri vývoji spoliehajú na softvérové knižnice tretích strán. Jedna chyba by mohla mať vplyv na všetky produkty spojené s problematickou knižnicou. Ďalším znepokojujúcim zistením je, že viac ako štvrtina opýtaných vývojárov nevedela alebo si nebola istá akýmkoľvek formálnym procesom používaným pri výbere knižníc tretích strán.
Súvisiace: Čo je to Zero Day Exploit a ako fungujú útoky?
Pozitívnym záverom štúdie však bolo, že softvérové aktualizácie opravujú 92 percent chýb v softvérových knižniciach tretích strán. Okrem toho 69 percent aktualizácií vyžaduje iba menšiu zmenu verzie alebo niečo ešte menej rozsiahle.
Ešte sľubnejšie bolo, že vývojári dokázali opraviť 17 percent týchto chýb za hodinu. To znamená, že riešenie týchto problémov s knižnicami otvorených zdrojov nie je vždy mimoriadne časovo náročné alebo komplikované.
Ako rýchlosť riešenia chyby ovplyvňuje bezpečnosť otvoreného zdroja
Jeden z hlavné problémy so zastaraným softvérom spočíva v tom, že ponecháva používateľov riziku možných bezpečnostných chýb. V ideálnom svete by si vývojári všimli a opravili všetky chyby skôr, ako sa softvér dostane na verejnosť. To je však nereálny cieľ.
Ďalšou najlepšou možnosťou je vydať softvérové opravy čoskoro po odhalení slabých miest. Výskumní pracovníci v oblasti bezpečnosti často upozorňujú poskytovateľov softvéru s uzavretým zdrojom na problémy, ktoré je potrebné rýchlo vyriešiť. Ľudia, ktorí vyvíjajú tieto produkty, sa však riadia harmonogramami vydávania, ktoré si vyberú nadriadení.
Subjekty s rozhodovacou právomocou nie vždy uprednostňujú všetky chyby zabezpečenia. Niektoré zostávajú neadresné ešte mesiace alebo roky po prvotnej identifikácii. Súvisiacim problémom je, že mnoho vývojárov bojuje s nadmerným alebo nevyváženým pracovným zaťažením, ktoré môže vážne obmedziť ich schopnosť rýchlo opraviť chyby, a to aj pri najlepšom úmysle.
Ďalší prieskum zistili, že 38 percent vývojárov trávi štvrtinu svojho dostupného času opravovaním softvérových chýb. Asi 26 percent respondentov uviedlo, že úloha im trvá polovicu ich pracovných dní. Ďalším do očí bijúcim zistením bolo, že 32 percent vývojárov trávi až 10 hodín týždenne opravovaním chýb namiesto písania kódu.
Vývojári prijímajú početné preventívne opatrenia, aby zabránili uvoľneniu problematického kódu. Napríklad krytie z Blue Sentry diskutovalo sa o tom, ako databáza sandbox poskytuje zrkadlovú verziu produkčného prostredia a akékoľvek zmeny súčasného cyklu nasadenia.
Profesionáli v oblasti vývoja webu sa môžu učiť a testovať veci bez akýchkoľvek závažných nepriaznivých dôsledkov, ktoré ovplyvnia celý tím. Ale chyby sa stále dejú.
Pretože softvér s otvoreným zdrojovým kódom pracuje na vývoji všetkých vývojových komunít, je tu vysoká úroveň šanca, že niekto so správnymi schopnosťami a dostupnosťou podľa harmonogramu dokáže na chybu zacieliť a získať ju opravený. To môže znamenať, že známe chyby zabezpečenia nezostávajú neadresované tak dlho, ako by to bolo v prípade softvérového titulu s uzavretým zdrojom.
Softvérové závislosti existujú, keď sa jeden operačný systém spolieha na fungovanie iného. Pokiaľ ide o softvér typu open-source, rýchle tempo zmien často sťažuje vývojárom pochopiť, či sa niektorá z ich závislostí týka zastaraných verzií.
Google však nedávno vydal webový vizualizačný nástroj s názvom Štatistiky otvoreného zdroja vyriešiť tento problém. Poskytuje používateľom prehľad komponentov spojených so softvérovým balíkom.
Keďže informácie obsahujú podrobnosti o závislostiach a ich vlastnostiach, vývojoví profesionáli dostanú jasnejšiu predstavu o tom, či by zastaraný softvér s otvoreným zdrojovým kódom mohol neskôr spôsobiť problémy.
Okrem prezerania grafov závislostí môžu ľudia použiť porovnávací nástroj, ktorý ukazuje, ako môžu rôzne verzie balíkov ovplyvňovať závislosti. Nový problém sa niekedy zameriava na problém so zabezpečením. Ponukou tohto nástroja si Google kladie za cieľ uľahčiť vývojárom lepšie si uvedomiť, ako používajú softvér typu open source.
Získanie týchto nových poznatkov by mohlo zvýšiť bezpečnosť a celkovú použiteľnosť.
Softvér s otvoreným zdrojovým kódom: Nie je to úplné bezpečnostné riešenie
Tento prehľad ukazuje, prečo softvér typu open-source nie je vždy najbezpečnejšou voľbou v porovnaní so softvérom typu open-source. Aj napriek tomu existuje veľa dobrých vecí o softvéri s otvoreným zdrojovým kódom.
Ľudia, ktorí ho chcú použiť z osobných dôvodov alebo v rámci svojich organizácií, by mali pri rozhodovaní zvážiť klady a zápory.
Hľadáte bezplatné aplikácie s otvoreným zdrojovým kódom pre Windows? Tu uvádzame niektoré z najlepších softvérov, ktoré si môžete nainštalovať.
Prečítajte si Ďalej
- Bezpečnosť
- Online bezpečnosť
- Open Source
Shannon je tvorca obsahu so sídlom v Philly, PA. Po ukončení štúdia IT v odbore technológie sa venuje približne 5 rokov. Shannon je šéfredaktorom časopisu ReHack Magazine a venuje sa témam ako kybernetická bezpečnosť, hry a obchodné technológie.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.