Je open source opravdu tak bezpečný, jak jeho zastánci tvrdí?

K sepsání této úvahy mě inspirovala mediálně propíraná zranitelnost Heartbleed v OpenSSL.

V tomto případě se totiž jasně ukázalo, že se nevyplatí slepě důvěřovat v kvalitu open source SW a v nepřiměřené míře spoléhat na to, že když jsou zdrojové kódy volně k dispozici, tak že v nich někdo snadněji odhalí nějakou chybu.

Ano, teoreticky to možné je, ale v praxi to tak evidentně nefunguje. Samozřejmě můžete namítnout, že tohle je výjimečný případ, a pokusit se mne utlouct argumenty v podobě počtu zranitelností v open source a closed source SW a jak dlouho bylo okno zranitelnosti otevřeno atd. Každopádně důvěru v open source SW tento případ rozhodně nezvyšuje.

Problém je už v samotné podstatě open source, tedy že každý může kód modifikovat a dát ho zase zpět do oběhu a zároveň se zříci veškeré odpovědnosti. To, že je možné kód kontrolovat, ještě automaticky neznamená, že to někdo bude skutečně dělat. Už v základních kurzech managementu se učí, že každý úkol, aby byl splněn, musí být přidělen konkrétní osobě. A i tak není jisté, že bude skutečně splněn včas a v požadované kvalitě.

V okamžiku, kdy není někomu jednoznačně přidělena odpovědnost za splnění určitého úkolu, a odpovědnost je založena na ochotě, tak všichni spoléhají na to, že to někdo udělá a nakonec to neudělá nikdo. A přesně tohle se stalo v případě OpenSSL, všichni spoléhali na to, že u tak široce používaného řešení, a navíc nasazovaného i tam, kde na bezpečnosti opravdu záleží, by se taková triviální chyba nemohla vyskytnout. A ejhle, ona se vyskytla a byla tam několik let.

A přitom ten kód mohl kdokoliv zkontrolovat, že. Jenomže, proč by měl někdo ve svém volném čase zadarmo kontrolovat nějaký cizí kód, co by z toho měl? Když by tam nějakou chybu našel, tak ji sice může opravit nebo ji nahlásit komunitě, za což si jistě získá respekt. Ale finanční přínos nic moc, takže takový schopný člověk s časem nazbyt se raději vrhne na closed source, kde si vyslouží obdiv ještě větší a rozhodně i více peněz.

Ano, chyby v open source se hledají nepochybně snáz, protože je zde možno použít whitebox i blackbox technik, což u closed source nejde, protože tam nebývá k dispozici zdrojový kód. Jenže hledáním chyb se zabývají spíše firmy, které zranitelnosti a exploity prodávají na černém trhu. A těch firem zase až tolik není, protože ono nejde jen o to nějakou chybu najít, ale umět ji i prodat, protože musíte vědět na koho se obrátit a jak ho oslovit.

A co vy, kontrolujete zdrojový kód nebo provádíte nějaké testování open source SW v okamžiku, kdy se rozhodnete ho v rámci svého řešení použít nebo spoléháte, že to už udělal někdo jiný?

Open source SW jsem doposud testoval a prováděl i analýzu zdrojového kódu.

Nahrávání ... Nahrávání ...

Teď jste jistě nasadili poslední verzi OpenSSL a zcela jistě jste žádný audit zdrojového kódu opět neprováděli, nebo snad ano?

Open source SW budu testovat a budu provádět i analýzu zdrojového kódu.

Nahrávání ... Nahrávání ...


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Je open source opravdu tak bezpečný, jak jeho zastánci tvrdí?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: