Защо софтуерът с отворен код е по-сигурен?

Защо софтуерът с отворен код е по-сигурен?

Софтуерът с отворен код отдавна има репутацията на по-сигурен от своите аналози от затворен код. Но какво прави софтуера с отворен код по-сигурен? Редактор наскоро зададе този въпрос и получи няколко интересни отговора.

Parasymphatetic зададе въпроса си в Linux subreddit:

Така че има често срещан аргумент, че Linux и софтуерът с отворен код са по-сигурни от техните колеги в Windows. Сега, като отворен код и като цяло начинаещ на Linux, имам следния въпрос: Как така?

Как да разберете, че компилираната програма, която изтегляте, е точно като изходния код, който са предоставили? И някой всъщност проверява ли десет хиляди реда код, предоставени от някого? Нали?

И не оказвате ли същото доверие на хората от Valve и Blender, както мрачните потребители на Windows се доверяват на Microsoft?

Още в Reddit

Неговите колеги редактори на Linux отговориха с мислите си защо софтуерът с отворен код е по-сигурен:

Bushwacker: „Всичко е на разположение за проверка. Можете да изградите кода сами, включително ядрото. А за задни врати в компилаторите това е друга история. "

AiwendilH: „Не че софтуерът с отворен код е непременно по-добре проектиран ... той е, че без изходния код е невъзможно да се види какво прави една програма. Така че софтуерът с отворен източник се счита за по-сигурен, тъй като това е единственият вид софтуер, който изобщо може да се провери за сигурност, без да се налага сляпо да се доверява на някого ... всичко, което не е с отворен код, не може да бъде проверено и това трябва да се види като несигурен. "

Daemonpenguin: „Отвореният код не е автоматично по-сигурен от затворения код. Разликата е в отворения изходен код, който можете сами да проверите (или да платите на някой, който да провери вместо вас) дали кодът е сигурен. При програмите със затворен код трябва да приемете, че част от кода работи правилно, отвореният код позволява кодът да бъде тестван и проверен, за да работи правилно.

Отвореният код също така позволява на всеки да поправи счупен код, докато затвореният код може да бъде поправен само от доставчика.

С течение на времето това означава, че проектите с отворен код (като ядрото на Linux) са склонни да стават по-сигурни хора, повече хора тестват и поправят кода.

Всеки, който направи общо твърдение като „Софтуерът с отворен код е по-сигурен“, греши. Това, което трябва да кажат, е: „Софтуерът с отворен код може да бъде одитиран и поправен, когато поведението или сигурността му са под съмнение.

Някой проверява ли кода? Много хора го правят, особено при по-големи проекти като Linux, C библиотеката, Firefox и др. Обикновено не, но съм направил няколко одита на кода, който бях изпълнявал, за да се уверя, че работи правилно.

Обикновено нямам доверие на Microsoft или Valve или друг софтуер със затворен код. И обикновено наистина се доверявам само на проекти с отворен код, които са били активни по отношение на сигурността. "

Toemme: „В момента Debian се опитва да накара техните пакети да се възпроизвеждат възпроизводимо [1], така че можете да проверите дали бинарният файл, който получавате, наистина е изграден от изходния код, който ви показват.“

Eingaica: „Повечето (ако не всички) двоични дистрибуции компилират софтуер и не използват предварително компилирани двоични файлове, предоставени от разработчиците. Поне такъв е случаят с безплатния софтуер с отворен код. Дали можете да се доверите, че двоичните файлове, които получавате от дистрибуцията си, са идентични с това, което бихте получили, като се компилирате, е различен проблем (вижте например проекта за възпроизводими компилации на Debian). “

OMGTokin: ”... вярно е, че инсталирате двоични файлове и влагате много доверие в горния поток. Доста скоро, както другите споменаха, ще има възпроизводими компилации, но за щастие повечето от инсталирания от вас софтуер има git хранилище, което ще ви позволи да изтеглите изходния код до aduit и да се компилирате. "

Sendme: „Нивото на параноя, за което говорите, е доста далеч. Що се отнася до сигурността, проблемът със софтуера със затворен код е, че само няколко души могат да прегледат изходния код и да се опитат да го поправят. FOSS има много повече разработчици, които гледат на кода, така че се надяваме, че ще дадат повече корекции на грешки. "

Тимантий: „Ето какво е, освен ако няма да направите резервно копие на НЯКОЛКО слоя, за да направите компилатори, трябва да започнете да се доверявате някъде. Освен това има ясен и прост факт, че повечето от нас просто не са толкова важни / интересни за шпиониране. "

Justcs: „Лицензът не диктува качеството на кода.“

Whotookmynick: ”... не можете да се доверите на голямо количество код за друг, можете да използвате инструменти като wireshark, strace и т.н.

Apple и MS (и клапан) са базирани в САЩ компании, така че ако правителството им каже да направят нещо, те ще трябва да се съобразят. Друго нещо е германското правителство, което всъщност прави троянски коне законно.

Що се отнася до личната сигурност отвъд това, вашият рутер филтрира повечето заплахи, освен ако компютърът ви сам не отвори порт, трябва да сте добре под Linux / bsd X може да отвори такъв, sshd отваря един, vnc, skype / irc / каквото и да е, но те имат да има уязвимости, които могат да се използват по връзка ”

Още в Reddit