Kun ihmiset tekevät ohjelmistovalintoja, turvallisuus on usein lähellä heidän prioriteettiluettelonsa kärkeä. Ja jos ei, niin sen pitäisi olla! He yleensä kuitenkin ihmettelevät suljetun ja avoimen lähdekoodin ohjelmistojen eroja.
Joten mitä eroa on avoimen ja suljetun lähdekoodin välillä? Onko avoimen lähdekoodin ohjelmisto todella turvallinen?
Avoimen lähdekoodin vs. Suljetun lähdekoodin ohjelmisto
Ihmiset asettavat avoimen lähdekoodin ohjelmistot vapaasti kaikkien saataville. Yleisö voi käyttää, kopioida, muuttaa ja levittää sitä. Plus, kuten nimestä voi päätellä, kuka tahansa voi nähdä lähdekoodin.
Suljetun lähdekoodin ohjelmistossa on tiukasti vartioitu koodi, jonka vain valtuutetut henkilöt voivat nähdä tai muuttaa. Kustannukset kattavat ihmisten oikeuden käyttää sitä, mutta vain loppukäyttäjän käyttöoikeussopimuksen rajoissa.
Avoimen lähdekoodin näkyvyydellä on turvallisuuden etuja ja haittoja
Kenen tahansa kyky nähdä lähdekoodi tuo suuria etuja avoimen lähdekoodin tietoturvalle. Kehityksestä tulee yhteisöponnistelu, johon osallistuvat ihmiset ympäri maailmaa.
Tämä tarkoittaa, että virheet havaitaan ja korjataan usein nopeammin kuin jos koodia tutkisi vain paljon pienempi joukko yksilöitä.
Hakkerit hyödynnä esteettömyyttä myös avoimen lähdekoodin. He voivat käyttää sitä suunnitella hyökkäyksiä tai ottaa huomioon haavoittuvuudet.
Kehittäjät, jotka ovat aidosti kiinnostuneita avoimen lähdekoodin ohjelmistojen parantamisesta, käsittelevät löytämänsä ongelmat tai ainakin ilmoittavat ongelmista jollekin, jolla on taitoja puuttua niihin. Jokainen, jolla on ilkeä aikomus, toivoo, että asiat menevät huomaamatta niin kauan kuin mahdollista.
Nämä realiteetit saavat kyberturvallisuuden ammattilaiset varoittamaan, että avoimen lähdekoodin ohjelmistot voivat vaarantaa organisaatioita. Yksi asia on, että rikolliset voisivat nähdä koodin ja pistää siihen vaarallista sisältöä. Vaihtoehtoisesti nämä osapuolet voivat kohdistaa yrityksiin joilla ei ole tiukkoja käytäntöjä riittävän taajuudeltaan ohjelmistopakettien lataamiseen.
Koska avoimen lähdekoodin ohjelmistolla ei ole keskusviranomaista, joka hallinnoi sitä, kenenkään on vaikea tietää, mitä versioita käytetään eniten. Nimikkeitä voidaan päivittää niin usein, että organisaation IT-tiimit eivät ymmärrä, että heillä on vanha versio vakavista turvallisuusongelmista.
Kolmannen osapuolen ohjelmistokirjastot aiheuttavat avoimen lähdekoodin tietoturvariskejä
Kehittäjät käyttävät usein kolmannen osapuolen ohjelmistokirjastoja ajan säästämiseksi. Ne ovat uudelleenkäytettäviä komponentteja, jotka on kehittänyt muu kuin alkuperäinen palveluntarjoaja. Yksi etu on, että ne mahdollistavat ennalta testatun koodin käytön.
Suosittuja kirjastoja testataan lukuisissa ympäristöissä monenlaisissa käyttötapauksissa. Luonnollinen käyttötaajuus tarkoittaa, että virheistä ilmoitetaan usein. Tämä ei kuitenkaan välttämättä tarkoita, että kolmannen osapuolen ohjelmistokirjastoilla on parempi suojaus, vaikka keskusteltaisiin avoimen lähdekoodin ohjelmistoihin liittyvistä.
Yksi tutkimus havaitsi, että lähes 80 prosentissa tapauksista kolmannen osapuolen avoimen lähdekoodin ohjelmistoja ei päivitetä sen jälkeen, kun kehittäjät ovat lisänneet ne kooditietokantoihin. Tutkimukseen osallistuneet tutkijat varoittivat, kuinka päivitysten puuttumisella voi olla vaikutuksia.
Jotkut uusimmista ja laajalti käytetyistä ohjelmistojen nimikkeistä ovat kehityksen aikana riippuvaisia kolmansien osapuolten ohjelmakirjastoista. Yksi virhe saattaa vaikuttaa kaikkiin ongelmalliseen kirjastoon liittyviin tuotteisiin. Toinen huolestuttava havainto on, että yli neljännes kyselyyn osallistuneista kehittäjistä ei tiennyt tai ollut epävarma mistään muodollisesta prosessista, jota käytettiin kolmansien osapuolien kirjastojen valitsemiseen.
Liittyvät: Mikä on nollapäivän hyväksikäyttö ja miten hyökkäykset toimivat?
Tutkimuksen positiivinen johtopäätös oli kuitenkin se, että ohjelmistopäivitykset korjaavat 92 prosenttia muiden valmistajien ohjelmistokirjastojen virheistä. Lisäksi 69 prosenttia päivityksistä vaatii vain pienen versionmuutoksen tai jotain vielä vähemmän laajempaa.
Vielä lupaavampaa oli, että kehittäjät pystyivät korjaamaan 17 prosenttia näistä puutteista tunnissa. Tämä tarkoittaa, että näiden avoimen lähdekoodin kirjastokysymysten käsitteleminen ei ole aina erittäin aikaa vievää tai monimutkaista.
Kuinka virheenratkaisunopeus vaikuttaa avoimen lähdekoodin tietoturvaan
Yksi vanhentuneiden ohjelmistojen pääkysymykset on se, että se vaarantaa käyttäjiä mahdollisista tietoturva-aukoista. Ihanteellisessa maailmassa kehittäjät huomaavat ja korjaavat kaikki virheet ennen kuin ohjelmisto pääsee yleisöön. Se on kuitenkin epärealistinen tavoite.
Seuraava paras vaihtoehto on vapauttaa ohjelmistopaketit pian haavoittuvuuksien ilmetessä. Turvallisuustutkijat ilmoittavat usein suljetun lähdekoodin ohjelmistojen toimittajille ongelmista, jotka tarvitsevat pikakorjauksia. Näitä tuotteita kehittävät ihmiset noudattavat kuitenkin esimiesten valitsemia julkaisuaikatauluja.
Myöskään päätöksentekijät eivät priorisoi kaikkia haavoittuvuuksia. Jotkut ovat ilman osoitetta kuukausia tai vuosia alkuperäisen tunnistamisen jälkeen. Liittyvä asia on, että monet kehittäjät kamppailevat liiallisesta tai epätasapainoisesta kuormituksesta, mikä voi rajoittaa vakavasti heidän kykyään korjata vikoja jopa parhaisiin tarkoituksiin.
Toinen kysely havaitsi, että 38 prosenttia kehittäjistä viettää neljännes käytettävissä olevasta ajastaan ohjelmavirheiden korjaamiseen. Noin 26 prosenttia vastaajista sanoi, että tehtävä vie puolet työpäivästään. Toinen silmää avaava havainto oli, että 32 prosenttia kehittäjistä viettää jopa 10 tuntia viikossa virheiden korjaamiseen koodin kirjoittamisen sijaan.
Kehittäjät toteuttavat lukuisia varotoimia välttääkseen ongelmallisen koodin julkaisemisen. Esimerkiksi kattavuus Sininen Sentry keskusteltiin siitä, kuinka hiekkalaatikkotietokanta antaa peiliversio tuotantoympäristöstä ja mahdollisista nykyisistä käyttöönottosyklin muutoksista.
Verkkokehityksen ammattilaiset voivat oppia ja testata asioita ilman suuria haitallisia seurauksia, jotka vaikuttavat koko tiimiin. Mutta vikoja tapahtuu edelleen.
Koska avoimen lähdekoodin ohjelmistoilla on kokonaisia kehitysyhteisöjä, jotka pyrkivät parantamaan sitä, on korkea mahdollisuus, että joku, jolla on oikeat taidot ja aikataulun saatavuus, voi kohdistaa virheen ja saada sen kiinteä. Tämä voi tarkoittaa sitä, että tunnetut haavoittuvuudet eivät pysy käsittelemättöminä niin kauan kuin suljetun lähdekoodin ohjelmistolla.
Ohjelmistiriippuvuudet ovat olemassa, kun yksi käyttöjärjestelmä luottaa toiseen toimimaan. Kun kyseessä on avoimen lähdekoodin ohjelmisto, nopea muutosvauhti vaikeuttaa kehittäjien usein ymmärtämään, koskeeko joku heidän riippuvuuksistaan vanhentuneita versioita.
Google julkaisi kuitenkin äskettäin verkkopohjaisen visualisointityökalun nimeltä Avoimen lähdekoodin oivallukset ongelman ratkaisemiseksi. Se antaa käyttäjille yleiskuvan ohjelmistopakettiin liittyvistä komponenteista.
Koska tiedot sisältävät tietoja riippuvuuksista ja niiden ominaisuuksista, kehitysasiantuntijat saavat selvemmän käsityksen siitä, voivatko vanhentuneet avoimen lähdekoodin ohjelmistot aiheuttaa ongelmia myöhemmin.
Riippuvuuskaavioiden tarkastelun lisäksi ihmiset voivat käyttää vertailutyökalua, joka näyttää kuinka eri pakettiversiot voivat vaikuttaa riippuvuuksiin. Joskus uudempi käsittelee tietoturvaongelman. Tarjoamalla tämän työkalun Google pyrkii helpottamaan kehittäjien tietoisuutta avoimen lähdekoodin ohjelmistojen käytöstä.
Tämän uuden tiedon saaminen voisi parantaa turvallisuutta ja yleistä käytettävyyttä.
Avoimen lähdekoodin ohjelmisto: Ei täydellinen tietoturvaratkaisu
Tämä yleiskatsaus osoittaa, miksi avoimen lähdekoodin ohjelmistot eivät ole aina turvallisin valinta suljetun lähdekoodin ohjelmistoihin verrattuna. Siitä huolimatta myös avoimen lähdekoodin ohjelmistoissa on paljon hyviä asioita.
Ihmisten, jotka aikovat käyttää sitä henkilökohtaisista syistä tai organisaationsa sisällä, tulisi punnita hyvät ja huonot puolet saadakseen päätöksen.
Etsitkö ilmaisia avoimen lähdekoodin sovelluksia Windowsille? Tässä on joitain parhaita ohjelmistoja, jotka voit asentaa.
Lue seuraava
- Turvallisuus
- Verkkoturva
- Avoin lähdekoodi
Shannon on sisällöntuottaja Phillyssä, PA. Hän on kirjoittanut tekniikan alalla noin 5 vuotta valmistuttuaan IT-tutkinnosta. Shannon on ReHack Magazinen toimitusjohtaja ja käsittelee muun muassa kyberturvallisuutta, pelaamista ja yritystekniikkaa.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.