ΑρχικήsecurityΠέντε μύθοι για το Open Source

Πέντε μύθοι για το Open Source

Ακριβώς όπως και το ιδιόκτητο λογισμικό, το Open Source έχει άφθονα συν και πλην. Για αρχή ας ορίσουμε το Ελεύθερο Λογισμικό:

Στον χώρο της πληροφορικής και των ηλεκτρονικών υπολογιστών, με τον όρο λογισμικό ανοικτού κώδικα (αγγλ.: Open Source Software, OSS) εννοείται λογισμικό του οποίου ο πηγαίος κώδικας διατίθεται σε τρίτον για να τον εξετάσει. Κατά καιρούς έχουν εμφανιστεί αρκετές διαφορετικές άδειες χρήσης σχεδιασμένες να συνοδεύουν λογισμικό ανοικτού κώδικα. Μερικές από αυτές επιτρέπουν στους χρήστες και να τροποποιήσουν τον κώδικα ή και να τον αξιοποιήσουν σε άλλες εφαρμογές. (WikiPedia)

Το “Ελεύθερο λογισμικό” ή Open Source είναι ζήτημα ελευθερίας, και όχι κόστους. Για να κατανοήσετε τον όρο αυτό θα πρέπει να σκέφτεστε τη λέξη “free” όπως ο “ελεύθερος λόγος (free speech)” και όχι η “δωρεάν μπίρα (free beer).” 

Έτσι “Ελεύθερο λογισμικό” ή “Open Source” δεν σημαίνει “μη-εμπορικό”. Ένα ελεύθερο πρόγραμμα θα πρέπει να είναι διαθέσιμο για εμπορική χρήση, εμπορική ανάπτυξη ή εμπορική διανομή. Η εμπορική ανάπτυξη του ελευθέρου λογισμικού δεν είναι ασυνήθιστη. Αντιθέτως, τέτοιου είδους ελεύθερο λογισμικό είναι πολύ σημαντικό να υπάρχει. gnu.org

open source

Οι επικριτές του λογισμικού ανοικτού κώδικα συχνά αναφέρουν ότι η ευρεία βάση ανάπτυξης της και ο ανοικτός πηγαίος κώδικας είναι επικίνδυνα για την ασφάλεια. Όμως αυτή η αξιολόγηση δεν είναι δίκαιη, σύμφωνα με τον Dr Ian Levy, τεχνικός διευθυντής της CESG, ένα τμήμα του οργανισμού πληροφοριών GCHQ του Ηνωμένου Βασιλείου, που συμβουλεύει την κυβέρνηση της Βρετανίας για την IT ασφάλεια.

Το Open source δεν είναι χειρότερο ή καλύτερο από το ιδιόκτητο λογισμικό, όταν πρόκειται για την ασφάλεια, σύμφωνα με τον Levy, ο οποίος απέρριψε ορισμένους μύθους για την ασφάλεια του ανοιχτού κώδικα και μίλησε λεπτομερώς για τις πραγματικές προκλήσεις ασφαλείας στο συνέδριο Open Source, Open Standards που πραγματοποιήθηκε  παλαιότερα στο Λονδίνο.

Ας δούμε τους Μύθους

Το λογισμικό ανοικτού κώδικα είναι λιγότερο ή περισσότερο ασφαλές από το ιδιόκτητο

“Έχω κάνει πολλή δουλειά σε αυτό, και δεν υπάρχει κάποια αντικειμενική ένδειξη. Κατά μέσο όρο, ο καλός ανοικτός κώδικας είναι περίπου τόσο καλός όσο ο καλός κώδικας ιδιόκτητων εφαρμογών, ή ο κακός είναι τόσο κακός όσο τον κακό ιδιόκτητο κώδικα” ανέφερε ο Levy.

Η ερώτηση αν κάποιο λογισμικό είναι ασφαλές είναι ένα πολύ ευρύ θέμα, σύμφωνα με τον Levy. Μια καλύτερη προσέγγιση, πρόσθεσε, είναι η ερώτηση “ποια ασφάλεια αναζητεί κάποιος από ένα λογισμικό “και μετά έρχεται η επόμενη ερώτηση “ποιο λογισμικό την προσφέρει.”

Τα πολλά μάτια κάνουν ασφαλή τον κώδικα

Η ιδέα ότι, επειδή ο κώδικας είναι ανοικτός σε οποιονδήποτε που μπορεί να τον διαβάσει, η ασφάλεια του υποβάλετε σε πιο αξιόλογους ελέγχους είναι αμφισβητήσιμη, ανέφερε ο Levy.

Από όλους όσους έχουν κατεβάσει τον κάποιο Linux Kernel ρωτήστε: “Ποιος νομίζει ότι είναι αρμόδιος να κρίνει την ασφάλεια του πυρήνα του Linux;”

Αν κατεβάσετε 21 εκατομμύρια γραμμές κώδικα Linux και πείτε “έχω τον κώδικα και τον κοίταξα”, για να μπορώ να πείσω τον εαυτό μου ότι είναι ασφαλής, είναι ανοησίες.

Κακόβουλοι χρήστες μπορούν να διαβάσουν τον πηγαίο κώδικα, και έτσι είναι λιγότερο ασφαλής

“Άλλη μια ανοησία. Αν δούμε πως οι κακόβουλοι χρήστες σπάζουν το λογισμικό, θα παρατηρήσουμε ότι δεν χρησιμοποιούν τον πηγαίο κώδικα. Όλα τα σφάλματα στα προϊόντα κλειστού κώδικα, ανακαλύπτονται από crackers που δεν έχουν την πηγή. Διαθέτουν ένα IDA Pro, ή ένα OllyDbg (απλά Olly) και δουλεύουν σε ανοικτά και κλειστά εκτελέσιμα αρχεία.”

Ο καθένας μπορεί να συμβάλει στον κώδικα και αυτό είναι άσχημο

Αυτός ο ισχυρισμός ίσως ισχύει για ορισμένα projects ανοικτού κώδικα, αλλά στα περισσότερα δεν ισχύει. Για την αντιστάθμιση του κινδύνου αυτού, μάθετε για το open source project και την ιστορία του και θα μπορείτε να κρίνετε, ανέφερε ο Levy.

Το Λογισμικό ανοικτού κώδικα σημαίνει ότι είναι ανοιχτό για τον οργανισμό σας να το χρησιμοποιήσει

Ακριβώς επειδή είναι open source αυτό δεν σημαίνει ότι είναι ελεύθερο και δεν έχει περιορισμούς. Η άδεια GPL θέτει περιορισμούς  και η BSD κάπως λιγότερους . Μπορεί να είναι σχετικές με εσάς αλλά υπάρχουν περιορισμοί. ”

“Ακόμα κι αν η αδειοδότηση δεν φαίνεται να είναι πρόβλημα, οι οργανισμοί μπορούν έχουν θέματα δικαιωμάτων πνευματικής ιδιοκτησίας.”

Ο Levy έδωσε το παράδειγμα του storage software Hadoop, το οποίο αναφέρεται ως ένα Open Source project.

“Είναι ένας πατενταρισμένος αλγόριθμος. Ξεχάστε την εφαρμογή. Η εφαρμογή μπορεί να είναι IP-free, αλλά ο αλγόριθμος είναι κατοχυρωμένος με δίπλωμα ευρεσιτεχνίας . Νομίζετε ότι μπορείτε να τον χρησιμοποιήσετε;”

Edited Τετάρτη 30 Νοεμβρίου 9:05 μμ για προσθήκη στον ορισμό του Open Source

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS