Kad ljudi odaberu softver, sigurnost im je često na vrhu popisa prioriteta. A ako nije, trebalo bi biti! Međutim, oni se obično pitaju o razlikama između softvera zatvorenog i otvorenog koda.
Pa, koja je razlika između otvorenog i zatvorenog koda? Je li softver otvorenog koda doista siguran?
Otvoreni izvor vs. Softver zatvorenog izvora
Ljudi softver otvorenog koda čine slobodno dostupnim svima. Javnost ga može koristiti, kopirati, mijenjati i distribuirati. Uz to, kao što i samo ime govori, svatko može vidjeti izvorni kod.
Softver zatvorenog koda sadrži strogo čuvani kôd koji samo ovlaštene osobe mogu vidjeti ili promijeniti. Trošak pokriva pravo ljudi da ga koriste, ali samo u granicama ugovora o licenci za krajnjeg korisnika.
Vidljivost otvorenog koda ima sigurnosne prednosti i nedostatke
Sposobnost bilo koga da vidi izvorni kod donosi velike prednosti za sigurnost otvorenog koda. Razvoj postaje napor zajednice u kojem sudjeluju ljudi iz cijelog svijeta.
To znači da se pogreške često uočavaju i isprave brže nego kad bi samo puno manja skupina pojedinaca pregledala kôd.
Međutim, hakeri iskoristiti dostupnost otvorenog koda. Mogli bi ga koristiti za planiranje napada ili bilježenje ranjivosti.
Programeri s istinskim zanimanjem za poboljšanje softvera otvorenog koda rješavaju probleme koje pronalaze ili ih barem prijavljuju nekome tko ima vještine da ih riješi. Svatko sa zlonamjernom namjerom nada se da će stvari što duže proći nezapaženo.
Te stvarnosti uzrokuju upozorenje stručnjaka za kibernetsku sigurnost da softver otvorenog koda može organizacije ugroziti. Jedno je pitanje da bi kriminalci mogli vidjeti kod i u njega ubaciti opasan sadržaj. Alternativno, te bi stranke mogle ciljati tvrtke koji nemaju stroge prakse za preuzimanje softverskih zakrpa s dovoljnom učestalošću.
Budući da softver s otvorenim kodom nema središnje tijelo kojim upravlja, teško je da itko zna koje se verzije najčešće koriste. Naslovi bi se mogli ažurirati tako često da IT timovi organizacije ne shvaćaju da imaju staru verziju s ozbiljnim sigurnosnim problemima.
Neovisne softverske knjižnice predstavljaju sigurnosni rizik otvorenog koda
Programeri često koriste neovisne softverske knjižnice kako bi uštedjeli vrijeme. Komponente su za ponovnu upotrebu koje je razvio entitet koji nije izvorni davatelj usluga. Jedna je prednost što dopuštaju upotrebu prethodno testiranog koda.
Popularne knjižnice testiraju se u brojnim okruženjima za širok raspon slučajeva korištenja. Prirodna učestalost upotrebe znači da se često prijavljuju greške. Međutim, to ne znači nužno da softverske knjižnice treće strane imaju vrhunsku sigurnost, čak i kada se raspravlja o onima povezanim s softverom otvorenog koda.
Jedna studija utvrdio je da se u gotovo 80 posto slučajeva biblioteke trećih strana za softver otvorenog koda ne ažuriraju nakon što ih programeri dodaju u baze podataka. Istraživači koji su sudjelovali u istraživanju upozorili su kako bi nedostatak ažuriranja mogao imati negativne učinke.
Neki od najnovijih i naširoko korištenih softverskih naslova tijekom razvoja oslanjaju se na softverske knjižnice drugih proizvođača. Jedna bi mana mogla utjecati na sve proizvode povezane s problematičnom knjižnicom. Još jedno zabrinjavajuće otkriće je da više od četvrtine anketiranih programera nije bilo svjesno ili nesigurno niti jednog formalnog postupka koji se koristi za odabir neovisnih knjižnica.
Povezano: Što je iskorištavanje nula dana i kako djeluju napadi?
Međutim, pozitivan zaključak studije bio je da ažuriranja softvera otklanjaju 92 posto nedostataka u softverskim knjižnicama trećih strana. Uz to, 69 posto ažuriranja zahtijeva samo manju promjenu verzije ili nešto još manje opsežno.
Još je obećavalo da su programeri mogli popraviti 17 posto tih nedostataka u jednom satu. To znači da rješavanje ovih problema s bibliotekama otvorenog koda nije uvijek dugotrajno ili komplicirano.
Kako brzina rješavanja grešaka utječe na sigurnost otvorenog koda
Jedan od glavni problemi s zastarjelim softverom jest da korisnicima ostavlja rizik od potencijalnih sigurnosnih nedostataka. U idealnom svijetu programeri bi primijetili i ispravili sve programske pogreške prije nego što softver dođe do javnosti. To je, međutim, nerealan cilj.
Sljedeća je najbolja opcija izdavanje softverskih zakrpa ubrzo nakon što ranjivosti postanu očite. Istraživači sigurnosti često upozoravaju davatelje softvera zatvorenog koda o problemima koji trebaju brze popravke. Međutim, ljudi koji razvijaju te proizvode slijede raspored izdavanja koji su odabrali nadređeni.
Donositelji odluka ne daju uvijek prednost svim ranjivostima. Neki ostaju bez adrese mjesecima ili godinama nakon što se dogodi početna identifikacija. S tim je povezan problem što se mnogi programeri bore s prekomjernim ili neuravnoteženim radnim opterećenjima koja mogu ozbiljno ograničiti njihovu sposobnost brzog ispravljanja programskih pogrešaka, čak i uz najbolju namjeru.
Još jedna anketa utvrdio je da 38 posto programera provodi četvrtinu raspoloživog vremena popravljajući programske pogreške. Oko 26 posto ispitanika reklo je da im zadatak traje pola radnog dana. Još jedno otkriće koje otvara oči bilo je da 32 posto programera provodi i do 10 sati tjedno popravljajući programske pogreške umjesto da pišu kod.
Programeri poduzimaju brojne mjere predostrožnosti kako bi izbjegli objavljivanje problematičnog koda. Na primjer, pokrivenost od Plava straža razgovarali su o tome kako baza podataka u zaštićenom okruženju daje zrcalnu verziju proizvodnog okruženja i sve trenutne promjene ciklusa uvođenja.
Stručnjaci za web razvoj mogu naučiti i testirati stvari bez ikakvih većih štetnih posljedica koje utječu na cijeli tim. Ali greške se i dalje događaju.
Budući da softver s otvorenim kodom čitave razvojne zajednice rade na njegovom poboljšanju, postoji velika šansa da netko s pravim vještinama i raspoloživošću rasporeda može ciljati grešku i dobiti je fiksne. To može značiti da poznate ranjivosti ne ostaju ne adresirane onoliko dugo koliko bi mogle biti s naslovom softvera zatvorenog koda.
Softverske ovisnosti postoje kada se jedan operativni sustav oslanja na drugi. Kada je riječ o softveru otvorenog koda, brzi tempo promjena često programerima otežava razumijevanje odnosi li se neka od njihovih ovisnosti na zastarjele verzije.
Međutim, Google je nedavno objavio internetski alat za vizualizaciju pod nazivom Uvidi otvorenog koda za rješavanje tog problema. Korisnicima daje pregled komponenata povezanih sa softverskim paketom.
Budući da informacije uključuju detalje o ovisnostima i njihovim svojstvima, razvojni stručnjaci dobivaju jasniju ideju može li zastarjeli softver otvorenog koda kasnije uzrokovati probleme.
Osim gledanja grafikona ovisnosti, ljudi mogu koristiti alat za usporedbu koji pokazuje kako različite verzije paketa mogu utjecati na ovisnosti. Ponekad se noviji bavi sigurnosnim problemom. Nudeći ovaj alat, Google želi olakšati programerima da postanu svjesniji kako koriste softver otvorenog koda.
Imati to novo znanje moglo bi poboljšati sigurnost i ukupnu iskoristivost.
Softver otvorenog koda: nije cjelovito sigurnosno rješenje
Ovaj pregled pokazuje zašto softver s otvorenim kodom nije uvijek najsigurniji izbor u odnosu na softver sa zatvorenim izvorom. Bez obzira na to, puno je dobrih stvari i kod softvera otvorenog koda.
Ljudi koji ga namjeravaju koristiti iz osobnih razloga ili u okviru svojih organizacija trebali bi izvagati prednosti i nedostatke kako bi donijeli odluku.
Tražite besplatne aplikacije otvorenog koda za Windows? Evo nekoliko najboljih softvera koje možete instalirati.
Pročitajte Dalje
- Sigurnost
- Sigurnost na mreži
- Otvoreni izvor
Shannon je tvorac sadržaja smješten u Phillyju, PA. Piše u tehničkom području otprilike 5 godina nakon što je diplomirala IT. Shannon je glavna urednica časopisa ReHack i pokriva teme poput kibernetičke sigurnosti, igara na sreću i poslovne tehnologije.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Još jedan korak…!
Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.
