Когато хората правят избор на софтуер, сигурността често е на върха на техните приоритетни списъци. А ако не е, трябва да бъде! Те обаче обикновено се чудят за разликите между софтуера със затворен и отворен код.
И така, каква е разликата между отворен и затворен код? Сигурен ли е софтуерът с отворен код?
С отворен код срещу Софтуер със затворен код
Хората правят софтуера с отворен код свободно достъпен за всички. Публиката може да го използва, копира, променя и разпространява. Освен това, както подсказва името, всеки може да види изходния код.
Софтуерът със затворен код разполага със строго защитен код, който само оторизирани хора могат да виждат или променят. Цената обхваща правото на хората да го използват, но само в границите на лицензионното споразумение за крайния потребител.
Видимостта с отворен код има плюсове и минуси за сигурността
Способността на всеки да вижда изходния код носи големи предимства за сигурността с отворен код. Развитието се превръща в усилие на общността, в което участват хора от цял свят.
Това означава, че грешките често се забелязват и поправят по-бързо, отколкото ако само много по-малка група лица изследва кода.
Хакери обаче се възползвайте от достъпността на отворен код също. Те биха могли да го използват за планиране на атаки или за отбелязване на уязвимости.
Разработчиците с истински интерес към подобряване на софтуера с отворен код се отнасят до проблемите, които откриват, или поне докладват за проблемите на някой, който има умения да се справи с тях. Всеки със злонамерени намерения се надява нещата да останат незабелязани възможно най-дълго.
Тези реалности карат специалистите по киберсигурност да предупреждават, че софтуерът с отворен код може да изложи организациите на риск. Един от въпросите е, че престъпниците могат да видят кода и да инжектират опасно съдържание в него. Като алтернатива тези страни могат да бъдат насочени към компании които нямат строги практики за изтегляне на софтуерни кръпки с достатъчно честота.
Тъй като софтуерът с отворен код няма централен орган, който да го управлява, е трудно някой да разбере кои версии се използват най-често. Заглавията могат да се актуализират толкова често, че ИТ екипите на организацията не осъзнават, че имат стара версия със сериозни проблеми със сигурността.
Софтуерните библиотеки на трети страни представляват рискове за сигурността с отворен код
Разработчиците често използват софтуерни библиотеки на трети страни, за да спестят време. Те са компоненти за многократна употреба, разработени от обект, различен от оригиналния доставчик. Едно от предимствата е, че те позволяват използването на предварително тестван код.
Популярните библиотеки се тестват в множество среди за широк спектър от случаи на употреба. Естествената честота на използване означава, че често се съобщава за грешки. Това обаче не означава непременно, че софтуерните библиотеки на трети страни имат превъзходна защита, дори когато се обсъждат тези, свързани със софтуер с отворен код.
Едно проучване установи, че в почти 80 процента от случаите библиотеките на трети страни за софтуер с отворен код не се актуализират, след като разработчиците ги добавят към кодовите бази. Изследователите, участващи в проучването, предупредиха как липсата на актуализации може да има въздействащи ефекти.
Някои от най-новите и широко използвани софтуерни заглавия разчитат на софтуерни библиотеки на трети страни по време на разработката. Един недостатък може да засегне всички продукти, свързани с проблемна библиотека. Друго тревожно откритие е, че повече от една четвърт от анкетираните разработчици не са били наясно или не са сигурни за какъвто и да е официален процес, използван за избор на библиотеки на трети страни.
Свързани: Какво е експлойт с нулев ден и как работят атаките?
Положителното заключение от проучването обаче беше, че софтуерните актуализации отстраняват 92 процента от недостатъците в софтуерните библиотеки на трети страни. Освен това 69 процента от актуализациите изискват само малка промяна на версията или нещо дори по-малко обширно.
Още по-обещаващо беше, че разработчиците могат да поправят 17 процента от тези недостатъци за един час. Това означава, че справянето с тези проблеми с библиотеките с отворен код не винаги е изключително интензивно или сложно.
Как скоростта на разрешаване на грешки влияе на сигурността с отворен код
Един от основни проблеми с остарелия софтуер е, че излага потребителите на риск от потенциални недостатъци в сигурността. В идеалния свят разработчиците ще забележат и поправят всички грешки, преди софтуерът да достигне до обществеността. Това обаче е нереална цел.
Следващият най-добър вариант е да пуснете софтуерни корекции скоро след като уязвимостите станат очевидни. Изследователите по сигурността често предупреждават доставчиците на софтуер с затворен код за проблеми, които се нуждаят от бързи решения. Хората, които разработват тези продукти, обаче спазват графиците за пускане, избрани от началниците.
Вземащите решения не винаги приоритизират всички уязвимости. Някои остават неадресирани в продължение на месеци или години след първоначалната идентификация. Свързан проблем е, че много разработчици се борят с прекомерно или небалансирано натоварване, което може сериозно да ограничи способността им бързо да поправят грешки, дори и с най-добри намерения.
Друго проучване установи, че 38 процента от разработчиците отделят една четвърт от наличното си време за отстраняване на софтуерни грешки. Около 26 процента от анкетираните казват, че задачата отнема половината от работните им дни. Друго откриващо откритието е, че 32 процента от разработчиците отделят до 10 часа седмично, за да поправят грешки, вместо да пишат код.
Разработчиците вземат множество предпазни мерки, за да избегнат пускането на проблемен код. Например покритие от Blue Sentry обсъдиха как базата данни на пясъчника дава огледална версия на производствената среда и всички текущи промени в цикъла на внедряване.
Професионалистите в уеб разработката могат да научат и тестват нещата без големи неблагоприятни последици, които засягат целия екип. Но грешки все пак се случват.
Тъй като софтуерът с отворен код има цели общности за разработка, които работят за подобряването му, има висока шанс някой с правилните умения и наличност по график да насочи грешка и да я получи фиксиран. Това може да означава, че известните уязвимости не остават неадресирани толкова дълго, колкото биха могли със заглавие на софтуер със затворен код.
Съществуват софтуерни зависимости, когато една операционна система разчита на друга да работи. Що се отнася до софтуера с отворен код, бързият темп на промяна често затруднява разработчиците да разберат дали някоя от техните зависимости се отнася до остарели версии.
Наскоро обаче Google пусна уеб базиран инструмент за визуализация, наречен Статистика с отворен код за решаване на този проблем. Той дава на потребителите преглед на компонентите, свързани със софтуерен пакет.
Тъй като информацията включва подробности за зависимостите и техните свойства, специалистите по разработка получават по-ясна представа дали остарелият софтуер с отворен код може да причини проблеми по-късно.
Освен че разглеждат графиките на зависимостите, хората могат да използват инструмент за сравнение, който показва как различните версии на пакета могат да повлияят на зависимостите. Понякога по-нова разглежда проблем със сигурността. Предлагайки този инструмент, Google цели да улесни разработчиците да станат по-наясно как използват софтуера с отворен код.
Наличието на тези нови знания може да подобри сигурността и цялостната използваемост.
Софтуер с отворен код: Не е цялостно решение за сигурност
Този преглед показва защо софтуерът с отворен код не винаги е най-сигурният избор в сравнение със софтуера със затворен код. Въпреки това има много добри неща и за софтуера с отворен код.
Хората, които възнамеряват да го използват по лични причини или в рамките на своите организации, трябва да преценят плюсовете и минусите, за да стигнат до решение.
Търсите безплатни приложения с отворен код за Windows? Ето някои от най-добрите софтуери, които можете да инсталирате.
Прочетете Напред
- Сигурност
- Онлайн сигурност
- Отворен код
Шанън е създател на съдържание, разположен във Фили, Пенсилвания. Тя пише в областта на технологиите от около 5 години, след като завършва със специалност ИТ. Шанън е управляващ редактор на списание ReHack и обхваща теми като киберсигурност, игри и бизнес технологии.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.