Όταν οι άνθρωποι κάνουν επιλογές λογισμικού, η ασφάλεια βρίσκεται συχνά στην κορυφή των λιστών προτεραιότητας. Και αν δεν είναι, θα πρέπει να είναι! Ωστόσο, συνήθως αναρωτιούνται για τις διαφορές μεταξύ λογισμικού κλειστού και ανοιχτού κώδικα.

Λοιπόν, ποια είναι η διαφορά μεταξύ ανοιχτού και κλειστού κώδικα; Είναι το λογισμικό ανοιχτού κώδικα πραγματικά ασφαλές;

Ανοιχτός κώδικας εναντίον Λογισμικό κλειστής πηγής

Οι άνθρωποι κάνουν ελεύθερο λογισμικό ανοιχτού κώδικα σε όλους. Το κοινό μπορεί να το χρησιμοποιήσει, να το αντιγράψει, να το αλλάξει και να το αναδιανείμει. Επιπλέον, όπως υποδηλώνει το όνομα, όλοι μπορούν να δουν τον πηγαίο κώδικα.

Το λογισμικό κλειστού κώδικα διαθέτει αυστηρά προστατευμένο κώδικα που μόνο εξουσιοδοτημένα άτομα μπορούν να δουν ή να αλλάξουν. Το κόστος καλύπτει το δικαίωμα των χρηστών να το χρησιμοποιούν, αλλά μόνο εντός των ορίων της άδειας χρήσης για τον τελικό χρήστη.

Η ορατότητα ανοιχτού κώδικα έχει πλεονεκτήματα και μειονεκτήματα ασφαλείας

Η ικανότητα οποιουδήποτε να βλέπει τον πηγαίο κώδικα φέρνει σημαντικά πλεονεκτήματα για την ασφάλεια ανοιχτού κώδικα. Η ανάπτυξη γίνεται μια κοινοτική προσπάθεια στην οποία συμμετέχουν άτομα από όλο τον κόσμο.

instagram viewer

Αυτό σημαίνει ότι τα σφάλματα εντοπίζονται συχνά και διορθώνονται γρηγορότερα από ό, τι αν μια πολύ μικρότερη ομάδα ατόμων εξέτασε τον κώδικα.

Ωστόσο, οι χάκερ εκμεταλλευτείτε την προσβασιμότητα κώδικα ανοιχτού κώδικα. Θα μπορούσαν να το χρησιμοποιήσουν για να σχεδιάσουν επιθέσεις ή να σημειώσουν τις ευπάθειες.

Οι προγραμματιστές με πραγματικό ενδιαφέρον για τη βελτίωση του λογισμικού ανοιχτού κώδικα αντιμετωπίζουν τα ζητήματα που βρίσκουν ή τουλάχιστον αναφέρουν τα προβλήματα σε κάποιον με τις δεξιότητες να τα αντιμετωπίσει. Όποιος έχει κακόβουλες προθέσεις ελπίζει ότι τα πράγματα δεν θα γίνονται αντιληπτά όσο το δυνατόν περισσότερο.

Αυτές οι πραγματικότητες προκαλούν στους επαγγελματίες της ασφάλειας στον κυβερνοχώρο να προειδοποιήσουν ότι το λογισμικό ανοιχτού κώδικα μπορεί να θέσει σε κίνδυνο τους οργανισμούς. Ένα ζήτημα είναι ότι οι εγκληματίες μπορούσαν να δουν τον κώδικα και να εισάγουν επικίνδυνο περιεχόμενο σε αυτόν. Εναλλακτικά, αυτά τα μέρη θα μπορούσαν να στοχεύουν εταιρείες που δεν έχουν αυστηρές πρακτικές για λήψη ενημερωμένων εκδόσεων λογισμικού με επαρκή συχνότητα.

Δεδομένου ότι το λογισμικό ανοιχτού κώδικα δεν έχει κεντρική αρχή που το διαχειρίζεται, είναι δύσκολο για κανέναν να γνωρίζει ποιες εκδόσεις χρησιμοποιούνται συχνότερα. Οι τίτλοι θα μπορούσαν να ενημερώνονται τόσο συχνά ώστε οι ομάδες πληροφορικής ενός οργανισμού να μην συνειδητοποιούν ότι έχουν μια παλιά έκδοση με σοβαρά προβλήματα ασφαλείας.

Οι βιβλιοθήκες λογισμικού τρίτων μερών δημιουργούν κινδύνους ασφαλείας ανοιχτού κώδικα

Οι προγραμματιστές χρησιμοποιούν συχνά βιβλιοθήκες λογισμικού τρίτων για εξοικονόμηση χρόνου. Είναι επαναχρησιμοποιήσιμα στοιχεία που έχουν αναπτυχθεί από οντότητα διαφορετική από τον αρχικό πάροχο. Ένα πλεονέκτημα είναι ότι επιτρέπουν τη χρήση προ-δοκιμασμένου κώδικα.

Οι δημοφιλείς βιβλιοθήκες δοκιμάζονται σε πολλά περιβάλλοντα για ένα ευρύ φάσμα περιπτώσεων χρήσης. Η φυσική συχνότητα χρήσης σημαίνει ότι τα σφάλματα αναφέρονται συχνά. Ωστόσο, αυτό δεν σημαίνει απαραίτητα ότι οι βιβλιοθήκες λογισμικού τρίτου μέρους έχουν ανώτερη ασφάλεια, ακόμη και όταν συζητούν αυτές που σχετίζονται με λογισμικό ανοιχτού κώδικα.

Μία μελέτη διαπίστωσε ότι, σε σχεδόν 80 τοις εκατό των περιπτώσεων, οι βιβλιοθήκες τρίτων για λογισμικό ανοιχτού κώδικα δεν ενημερώνονται αφού οι προγραμματιστές τις προσθέσουν σε βάσεις κώδικα. Οι ερευνητές που συμμετείχαν στη μελέτη προειδοποίησαν πώς η έλλειψη ενημερώσεων θα μπορούσε να έχει επιπτώσεις.

Μερικοί από τους νεότερους και ευρέως χρησιμοποιούμενους τίτλους λογισμικού βασίζονται σε βιβλιοθήκες τρίτων μερών κατά την ανάπτυξη. Ένα ελάττωμα θα μπορούσε να επηρεάσει όλα τα προϊόντα που σχετίζονται με μια προβληματική βιβλιοθήκη. Ένα άλλο ανησυχητικό εύρημα είναι ότι περισσότερο από το ένα τέταρτο των προγραμματιστών που ερωτήθηκαν δεν γνώριζαν ή δεν ήταν σίγουροι για οποιαδήποτε επίσημη διαδικασία που χρησιμοποιήθηκε για την επιλογή βιβλιοθηκών τρίτων.

Σχετιζομαι με: Τι είναι το Zero Day Exploit και πώς λειτουργούν οι επιθέσεις;

Ωστόσο, ένα θετικό συμπέρασμα από τη μελέτη ήταν ότι οι ενημερώσεις λογισμικού διορθώνουν το 92% των ελαττωμάτων στις βιβλιοθήκες λογισμικού τρίτων. Επιπλέον, το 69 τοις εκατό των ενημερώσεων απαιτεί μόνο μια μικρή αλλαγή έκδοσης ή κάτι ακόμη λιγότερο εκτεταμένο.

Ακόμα πιο ελπιδοφόρο ήταν ότι οι προγραμματιστές θα μπορούσαν να διορθώσουν το 17% αυτών των ελαττωμάτων σε μία ώρα. Αυτό σημαίνει ότι η αντιμετώπιση αυτών των θεμάτων βιβλιοθήκης ανοιχτού κώδικα δεν είναι πάντα εξαιρετικά χρονοβόρα ή πολύπλοκη.

Πώς η ταχύτητα ανάλυσης σφαλμάτων επηρεάζει την ασφάλεια ανοιχτού κώδικα

Ενα από βασικά προβλήματα με το ξεπερασμένο λογισμικό είναι ότι αφήνει τους χρήστες σε κίνδυνο πιθανών ελαττωμάτων ασφαλείας. Σε έναν ιδανικό κόσμο, οι προγραμματιστές θα παρατηρούσαν και θα διορθώσουν όλα τα σφάλματα πριν το λογισμικό φτάσει στο κοινό. Ωστόσο, αυτός είναι ένας μη ρεαλιστικός στόχος.

Η επόμενη καλύτερη επιλογή είναι να αποδεσμεύσετε ενημερώσεις κώδικα λογισμικού αμέσως μετά την εμφάνιση των ευπαθειών. Οι ερευνητές ασφαλείας προειδοποιούν συχνά τους παρόχους λογισμικού κλειστού κώδικα για προβλήματα που χρειάζονται γρήγορες επιδιορθώσεις. Ωστόσο, οι άνθρωποι που αναπτύσσουν αυτά τα προϊόντα ακολουθούν τα προγράμματα κυκλοφορίας που επιλέγονται από ανώτερους.

Οι υπεύθυνοι λήψης αποφάσεων δεν δίνουν πάντα προτεραιότητα σε όλες τις ευπάθειες. Ορισμένα παραμένουν χωρίς προβλήματα για μήνες ή χρόνια μετά την αρχική αναγνώριση. Ένα σχετικό ζήτημα είναι ότι πολλοί προγραμματιστές αγωνίζονται με υπερβολικό ή ανισορροπημένο φόρτο εργασίας που μπορεί να περιορίσει σοβαρά την ικανότητά τους να διορθώνουν σφάλματα γρήγορα, ακόμη και με τις καλύτερες προθέσεις.

Μια άλλη έρευνα διαπίστωσαν ότι το 38% των προγραμματιστών ξοδεύουν το ένα τέταρτο του διαθέσιμου χρόνου τους για τη διόρθωση σφαλμάτων λογισμικού. Περίπου το 26% των ερωτηθέντων δήλωσε ότι η εργασία διαρκεί τις μισές από τις εργάσιμες ημέρες τους. Ένα άλλο εύρημα που άνοιξε τα μάτια ήταν ότι το 32% των προγραμματιστών ξοδεύουν έως και 10 ώρες την εβδομάδα για να διορθώσουν σφάλματα αντί να γράφουν κώδικα.

Οι προγραμματιστές λαμβάνουν πολλές προφυλάξεις για να αποφύγουν την απελευθέρωση προβληματικού κώδικα. Για παράδειγμα, κάλυψη από Μπλε Sentry συζήτησαν πώς μια βάση δεδομένων με sandbox δίνει μια κατοπτρική έκδοση του περιβάλλοντος παραγωγής και τυχόν αλλαγές στον τρέχοντα κύκλο ανάπτυξης.

Οι επαγγελματίες ανάπτυξης ιστοσελίδων μπορούν να μάθουν και να δοκιμάσουν πράγματα χωρίς σημαντικές αρνητικές συνέπειες που επηρεάζουν μια ολόκληρη ομάδα. Αλλά τα σφάλματα εξακολουθούν να συμβαίνουν.

Δεδομένου ότι το λογισμικό ανοιχτού κώδικα διαθέτει ολόκληρες κοινότητες ανάπτυξης που εργάζονται για τη βελτίωσή του, υπάρχει ένα υψηλό πιθανότητα κάποιος με τις σωστές δεξιότητες και διαθεσιμότητα προγράμματος να στοχεύσει ένα σφάλμα και να το πάρει σταθερός. Αυτό μπορεί να σημαίνει ότι τα γνωστά τρωτά σημεία δεν παραμένουν ανεπιθύμητα για όσο χρονικό διάστημα θα μπορούσαν με έναν τίτλο λογισμικού κλειστού κώδικα.

Εξαρτήσεις λογισμικού υπάρχουν όταν ένα λειτουργικό σύστημα βασίζεται σε ένα άλλο για να λειτουργήσει. Όσον αφορά το λογισμικό ανοιχτού κώδικα, ο γρήγορος ρυθμός αλλαγής καθιστά συχνά δύσκολο για τους προγραμματιστές να κατανοήσουν εάν κάποια από τις εξαρτήσεις τους αφορά ξεπερασμένες εκδόσεις.

Ωστόσο, η Google κυκλοφόρησε πρόσφατα ένα διαδικτυακό εργαλείο οπτικοποίησης που ονομάζεται Πληροφορίες ανοιχτού κώδικα για την αντιμετώπιση αυτού του προβλήματος. Παρέχει στους χρήστες μια επισκόπηση των στοιχείων που σχετίζονται με ένα πακέτο λογισμικού.

Δεδομένου ότι οι πληροφορίες περιλαμβάνουν λεπτομέρειες σχετικά με τις εξαρτήσεις και τις ιδιότητές τους, οι επαγγελματίες της ανάπτυξης λαμβάνουν μια σαφέστερη ιδέα για το εάν το ξεπερασμένο λογισμικό ανοιχτού κώδικα θα μπορούσε να προκαλέσει προβλήματα αργότερα.

Εκτός από την εξέταση γραφημάτων εξάρτησης, οι χρήστες μπορούν να χρησιμοποιήσουν ένα εργαλείο σύγκρισης που δείχνει πώς διαφορετικές εκδόσεις πακέτων μπορεί να επηρεάσουν τις εξαρτήσεις. Μερικές φορές, ένα νεότερο αντιμετωπίζει ένα ζήτημα ασφαλείας. Προσφέροντας αυτό το εργαλείο, η Google στοχεύει να διευκολύνει τους προγραμματιστές να γνωρίζουν καλύτερα πώς χρησιμοποιούν το λογισμικό ανοιχτού κώδικα.

Η κατοχή αυτών των νέων γνώσεων θα μπορούσε να βελτιώσει την ασφάλεια και τη συνολική χρηστικότητα.

Λογισμικό ανοιχτού κώδικα: Δεν είναι μια συνολική λύση ασφάλειας

Αυτή η επισκόπηση δείχνει γιατί το λογισμικό ανοιχτού κώδικα δεν είναι πάντα η πιο ασφαλής επιλογή σε σύγκριση με το λογισμικό κλειστού κώδικα. Ωστόσο, υπάρχουν πολλά καλά πράγματα για το λογισμικό ανοιχτού κώδικα.

Οι άνθρωποι που σκοπεύουν να το χρησιμοποιήσουν για προσωπικούς λόγους ή εντός των οργανισμών τους πρέπει να σταθμίσουν τα υπέρ και τα κατά για να πάρουν μια απόφαση.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Οι 6 καλύτερες εφαρμογές ανοιχτού κώδικα για Windows

Αναζητάτε δωρεάν εφαρμογές ανοιχτού κώδικα για Windows; Εδώ είναι μερικά από τα καλύτερα λογισμικά που μπορείτε να εγκαταστήσετε.

Διαβάστε Επόμενο

Σχετικά θέματα
  • Ασφάλεια
  • Διαδικτυακή ασφάλεια
  • Ανοιχτή πηγή
Σχετικά με τον Συγγραφέα
Σάνον Φλιν (Δημοσιεύθηκαν 6 άρθρα)

Η Shannon είναι δημιουργός περιεχομένου που βρίσκεται στο Philly, PA. Γράφει στον τομέα της τεχνολογίας για περίπου 5 χρόνια μετά την αποφοίτησή της με πτυχίο πληροφορικής. Ο Shannon είναι ο Managing Editor του ReHack Magazine και καλύπτει θέματα όπως η ασφάλεια στον κυβερνοχώρο, τα παιχνίδια και η επιχειρηματική τεχνολογία.

Περισσότερα από τον Shannon Flynn

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.