Když se lidé rozhodnou pro software, zabezpečení je často na vrcholu jejich seznamů priorit. A pokud tomu tak není, mělo by to být! Obvykle se však zajímají o rozdíly mezi uzavřeným a otevřeným softwarem.
Jaký je tedy rozdíl mezi otevřeným a uzavřeným zdrojem? Je software s otevřeným zdrojovým kódem skutečně bezpečný?
Open-Source vs. Software s uzavřeným zdrojem
Lidé bezplatně zpřístupňují software s otevřeným zdrojovým kódem všem. Veřejnost jej může používat, kopírovat, měnit a redistribuovat. Navíc, jak název napovídá, zdrojový kód může vidět kdokoli.
Softwarový software s uzavřeným zdrojem obsahuje přísně střežený kód, který mohou zobrazit nebo změnit pouze oprávnění lidé. Náklady pokrývají právo lidí je používat, ale pouze v mezích licenční smlouvy pro koncového uživatele.
Viditelnost open-source má klady a zápory zabezpečení
Schopnost kdokoli vidět zdrojový kód přináší velké výhody pro zabezpečení open-source. Rozvoj se stává společenským úsilím, kterého se účastní lidé z celého světa.
To znamená, že chyby se často objevují a opravují rychleji, než kdyby kód prozkoumala jen mnohem menší skupina jednotlivců.
Hackeři těžit z přístupnosti open-source kódu. Mohli by jej použít k plánování útoků nebo k zaznamenávání zranitelností.
Vývojáři, kteří mají skutečný zájem na zdokonalení softwaru s otevřeným zdrojovým kódem, se zabývají problémy, které najdou, nebo alespoň ohlásí problémy někomu, kdo má dovednosti je řešit. Každý, kdo má zákeřné úmysly, doufá, že to bude co nejdéle bez povšimnutí.
Tyto skutečnosti způsobují, že odborníci v oblasti kybernetické bezpečnosti varují, že software s otevřeným zdrojovým kódem může organizace ohrozit. Jedním z problémů je, že zločinci mohli kód vidět a vložit do něj nebezpečný obsah. Alternativně by tyto strany mohly cílit na společnosti kteří nemají přísné postupy pro stahování softwarových oprav s dostatečnou frekvencí.
Vzhledem k tomu, že software s otevřeným zdrojovým kódem nemá žádný centrální orgán, který by jej spravoval, je pro někoho těžké zjistit, které verze se používají nejčastěji. Tituly lze aktualizovat tak často, že IT týmy organizace si neuvědomují, že mají starou verzi se závažnými problémy se zabezpečením.
Softwarové knihovny třetích stran představují bezpečnostní rizika otevřeného zdroje
Vývojáři často používají softwarové knihovny třetích stran, aby ušetřili čas. Jedná se o opakovaně použitelné komponenty vyvinuté jinou entitou než původním poskytovatelem. Jednou výhodou je, že umožňují použití předem otestovaného kódu.
Populární knihovny jsou testovány v mnoha prostředích pro širokou škálu případů použití. Přirozená frekvence používání znamená, že chyby jsou hlášeny často. To však nutně nemusí znamenat, že softwarové knihovny třetích stran mají vynikající zabezpečení, i když diskutujeme o knihovnách souvisejících s open-source softwarem.
Jedna studie zjistil, že v téměř 80 procentech případů nejsou knihovny třetích stran pro software s otevřeným zdrojovým kódem aktualizovány poté, co je vývojáři přidají do kódových základen. Vědci zapojení do studie varovali, že nedostatek aktualizací může mít vedlejší účinky.
Některé z nejnovějších a široce používaných softwarových titulů se během vývoje spoléhají na softwarové knihovny třetích stran. Jedna chyba by mohla ovlivnit všechny produkty spojené s problematickou knihovnou. Dalším znepokojivým zjištěním je, že více než čtvrtina dotazovaných vývojářů nevěděla nebo si nebyla jistá jakýmkoli formálním procesem používaným při výběru knihoven třetích stran.
Příbuzný: Co je Zero Day Exploit a jak fungují útoky?
Pozitivní závěr studie však byl, že aktualizace softwaru opravují 92 procent nedostatků v softwarových knihovnách třetích stran. Navíc 69 procent aktualizací vyžaduje pouze malou změnu verze nebo něco ještě méně rozsáhlého.
Ještě slibnější bylo, že vývojáři dokázali opravit 17 procent těchto nedostatků za hodinu. To znamená, že řešení těchto problémů s knihovnami open-source není vždy extrémně časově náročné nebo komplikované.
Jak rychlost řešení chyby ovlivňuje zabezpečení open-source
Jeden z hlavní problémy se zastaralým softwarem je to, že ponechává uživatelům riziko potenciálních bezpečnostních nedostatků. V ideálním světě by si vývojáři všimli a opravili všechny chyby, než se software dostane na veřejnost. To je však nereálný cíl.
Další nejlepší možností je vydat softwarové opravy brzy poté, co se projeví chyby zabezpečení. Výzkumníci v oblasti zabezpečení často upozorňují poskytovatele softwaru s uzavřeným zdrojem na problémy, které je třeba rychle opravit. Lidé vyvíjející tyto produkty však dodržují plány vydání vybrané nadřízenými.
Ti, kdo rozhodují, také ne vždy upřednostňují všechny chyby zabezpečení. Některé zůstávají neadresované měsíce nebo roky po prvotní identifikaci. Souvisejícím problémem je, že mnoho vývojářů bojuje s nadměrným nebo nevyváženým vytížením, které může vážně omezit jejich schopnost rychle opravit chyby, a to i při nejlepším úmyslu.
Další průzkum zjistili, že 38 procent vývojářů tráví čtvrtinu svého dostupného času opravováním softwarových chyb. Asi 26 procent respondentů uvedlo, že úkol trvá polovinu jejich pracovních dnů. Dalším do očí bijícím zjištěním bylo, že 32 procent vývojářů tráví až 10 hodin týdně opravováním chyb místo psaní kódu.
Vývojáři přijímají četná opatření, aby zabránili vydání problematického kódu. Například pokrytí z Blue Sentry diskutovali o tom, jak sandboxová databáze poskytuje zrcadlovou verzi produkčního prostředí a jakékoli aktuální změny cyklu nasazení.
Odborníci na vývoj webových aplikací se mohou učit a testovat věci bez větších nepříznivých důsledků, které ovlivní celý tým. Ale chyby se stále dějí.
Vzhledem k tomu, že v softwaru s otevřeným zdrojovým kódem pracují celé vývojové komunity na jeho vylepšování, je zde vysoká šance, že někdo se správnými dovednostmi a dostupností podle plánu může zacílit chybu a získat ji pevný. To může znamenat, že známé chyby zabezpečení nezůstanou neadresovány tak dlouho, jak by mohly u softwarového titulu uzavřeného zdroje.
Softwarové závislosti existují, když jeden operační systém spoléhá na to, že bude fungovat jiný. Pokud jde o software s otevřeným zdrojovým kódem, rychlé tempo změn často ztěžuje vývojářům pochopit, zda se některá z jejich závislostí týká zastaralých verzí.
Google však nedávno vydal webový vizualizační nástroj s názvem Statistiky otevřeného zdroje řešit tento problém. Poskytuje uživatelům přehled komponent spojených se softwarovým balíčkem.
Protože informace obsahují podrobnosti o závislostech a jejich vlastnostech, vývojoví profesionálové získají jasnější představu o tom, zda by zastaralý software typu open-source mohl později způsobit problémy.
Kromě prohlížení grafů závislostí mohou lidé použít srovnávací nástroj, který ukazuje, jak různé verze balíčku mohou ovlivnit závislosti. Někdy novější řeší bezpečnostní problém. Nabídkou tohoto nástroje si Google klade za cíl usnadnit vývojářům větší povědomí o tom, jak používají open-source software.
Získání těchto nových znalostí by mohlo zlepšit zabezpečení a celkovou použitelnost.
Software s otevřeným zdrojovým kódem: Není to úplné bezpečnostní řešení
Tento přehled ukazuje, proč software s otevřeným zdrojovým kódem není vždy nejbezpečnější volbou ve srovnání se softwarem s uzavřeným zdrojovým kódem. O open-source softwaru je nicméně spousta dobrých věcí.
Lidé, kteří jej chtějí použít z osobních důvodů nebo v rámci své organizace, by měli při rozhodování zvážit výhody a nevýhody.
Hledáte bezplatné open-source aplikace pro Windows? Zde jsou některé z nejlepších softwarů, které můžete nainstalovat.
Přečtěte si další
- Bezpečnostní
- Zabezpečení online
- Otevřený zdroj
Shannon je tvůrce obsahu se sídlem ve Philly, PA. Psaní v oblasti technologií se věnuje asi 5 let po ukončení studia v oboru IT. Shannon je šéfredaktorem časopisu ReHack Magazine a věnuje se tématům jako kybernetická bezpečnost, hraní her a obchodní technologie.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.