Programmering

Hvorfor er open source-software mere sikker?

Hvorfor er open source-software mere sikker?

Open source-software har længe haft et ry for at være mere sikker end dets lukkede kildepartnere. Men hvad er det, der gør open source-software mere sikker? En redditor stillede for nylig dette spørgsmål og fik nogle interessante svar.

Parasymphatetic stillede sit spørgsmål i Linux subreddit:

Så der er et almindeligt argument om, at Linux og open source-software er mere sikker end deres Windows-kolleger. Nu har jeg som open source og total nybegynder af Linux følgende spørgsmål: Hvordan så?

Hvordan ved du, at det kompilerede program, du downloader, er nøjagtigt som kildekoden, de leverede? Og kontrollerer nogen faktisk ti tusinder af kodelinjer leveret af nogen? Gør du?

Og sætter du ikke den samme tillid til befolkningen i Valve og Blender, som Windows-brugerne stoler på Microsoft?

Mere på Reddit

Hans andre Linux-redditors svarede med deres tanker om, hvorfor open source-software er mere sikker:

Bushwacker: ”Det hele er tilgængeligt for inspektion. Du kan selv oprette koden, inklusive kernen. Nu om bagdøre i kompilatorer er det en anden historie. ”

AiwendilH: ”Det er ikke, at opensource-software nødvendigvis er bedre konstrueret ... det er, at uden kildekoden er det umuligt at se, hvad et program gør. Så opensource-software ses som mere sikker, da det er den eneste slags software, der overhovedet kan kontrolleres for sikkerhed uden blindt at have tillid til nogen ... alt ikke open source kan ikke kontrolleres, og ved dette skal det ses som usikker. ”

Daemonpenguin: ”Open source er ikke automatisk mere sikker end lukket kilde. Forskellen er med open source-kode, du kan kontrollere selv (eller betale nogen for at kontrollere for dig), om koden er sikker. Med lukkede kildeprogrammer er du nødt til at tage det i tillid til, at et stykke kode fungerer korrekt, åben kilde tillader, at koden testes og verificeres til at fungere korrekt.

Open source tillader også alle at rette brudt kode, mens lukket kilde kun kan rettes af sælgeren.

Over tid betyder det, at open source-projekter (som Linux-kernen) har tendens til at blive mere sikre mennesker, flere mennesker tester og retter koden.

Enhver, der afgiver en generel erklæring som "Open source software er mere sikker", tager fejl. Hvad de skal sige er, "Open source-software kan revideres og rettes, når der er tvivl om dens adfærd eller sikkerhed."

Kontrollerer nogen koden? Mange mennesker gør det, især på større projekter som Linux, C-biblioteket, Firefox osv. Gør jeg det? Normalt nej, men jeg har foretaget et par revisioner af den kode, jeg kørte for at sikre, at det fungerede korrekt.

Jeg stoler normalt ikke på Microsoft eller Valve eller anden lukket kildesoftware. Og jeg stoler normalt kun rigtig på open source-projekter, der har været proaktive, når det kommer til sikkerhed. ”

Toemme: ”I øjeblikket forsøger Debian at få deres pakker bygget reproducerbart [1], så du kan kontrollere, om den binære, du får, virkelig er bygget fra den kildekode, de viser dig.”

Eingaica: ”De fleste (hvis ikke alle) binære distributioner kompilerer software og bruger ikke præ-kompilerede binære filer leveret af udviklerne. I det mindste er det tilfældet med gratis / open source-software. Uanset om du kan stole på, at de binære filer, du får fra din distro, er identiske med, hvad du ville få ved at kompilere dig selv, er et andet problem (se f.eks. Debians reproducerbare build-projekt). ”

OMGTokin: ”... det er rigtigt, at du installerer binære filer og sætter stor tillid til opstrøms. Næsten snart som andre har nævnt, vil der være reproducerbare builds, men heldigvis for dig har de fleste software, du installerer, et git-lager, som giver dig mulighed for at trække kildekoden til at tilpasse og kompilere dig selv. ”

Send mig: ”Niveauet af paranoia, du taler om, er ret langt derude. Problemet med lukket kildesoftware hvad angår sikkerhed er, at kun få mennesker kan se kildekoden og forsøge at rette den. FOSS har meget flere udviklere, der ser på koden, så forhåbentlig giver det flere fejlrettelser. ”

Tymanthius: ”Her er sagen, medmindre du tager sikkerhedskopi af flere lag dybt for at lave kompilatorer, skal du begynde at stole på et eller andet sted. Der er også den enkle og enkle kendsgerning, at de fleste af os bare ikke er så vigtige / interessante at spionere på. ”

Justcs: ”Licens dikterer ikke kodekvalitet.”

Whotookmynick: ”... du kan ikke stole på nogen større mængde kode for en anden, du kan bruge værktøjer som wireshark, strace osv.

Apple og MS (og ventil) er USA-baserede virksomheder, så hvis deres regering bad dem om at gøre noget, skulle de overholde dem. En anden ting er den tyske regering, der faktisk laver trojanske heste lovligt.

Hvad angår personlig sikkerhed ud over det, filtrerer din router de fleste af truslerne ud, medmindre din computer åbner en port selv, du skal have det godt under linux / bsd X kan åbne en, sshd åbner en, vnc, skype / irc / uanset men de har at have sårbarheder, der kan udnyttes over en forbindelse ”

Mere på Reddit