Perché il software open source è più sicuro?

Perché il software open source è più sicuro?

Il software open source ha avuto a lungo la reputazione di essere più sicuro delle sue controparti closed source. Ma cos'è che rende il software open source più sicuro? Un redditor ha recentemente posto questa domanda e ha ottenuto alcune risposte interessanti.

Parasymphatetic ha posto la sua domanda nel subreddit di Linux:

Quindi c'è un argomento comune che Linux e il software open source sono più sicuri delle loro controparti Windows. Ora, come novizio open source e totale di Linux, ho la seguente domanda: come mai?

Come fai a sapere che il programma compilato che scarichi è esattamente come il codice sorgente fornito? E qualcuno controlla davvero diecimila righe di codice fornite da qualcuno? Fai?

E non riponi la stessa fiducia nelle persone di Valve e Blender come gli utenti Windows disapprovati si fidano di Microsoft?

Altro su Reddit

I suoi colleghi redattori di Linux hanno risposto con i loro pensieri sul perché il software open source è più sicuro:

Bushwacker: "È tutto disponibile per l'ispezione. Puoi costruire il codice da solo, incluso il kernel. Ora riguardo alle backdoor nei compilatori, questa è un'altra storia ".

AiwendilH: ”Non è che il software opensource sia necessariamente progettato meglio ... è che senza il codice sorgente è impossibile vedere cosa fa un programma. Quindi il software opensource è visto come più sicuro in quanto è l'unico tipo di software che può essere controllato per la sicurezza senza bisogno di fidarsi ciecamente di qualcuno ... tutto ciò che non è open source non può essere controllato e da questo deve essere visto come insicuro. "

Daemonpenguin: ”L'open source non è automaticamente più sicuro del closed source. La differenza è che con il codice open source puoi verificare tu stesso (o pagare qualcuno per verificare per te) se il codice è sicuro. Con i programmi closed source è necessario credere che un pezzo di codice funzioni correttamente, l'open source consente di testare e verificare che il codice funzioni correttamente.

L'open source consente inoltre a chiunque di correggere il codice danneggiato, mentre il closed source può essere riparato solo dal fornitore.

Nel tempo questo significa che i progetti open source (come il kernel Linux) tendono a diventare persone più sicure, più persone stanno testando e aggiustando il codice.

Chiunque faccia un'affermazione generale come "Il software open source è più sicuro", si sbaglia. Quello che dovrebbero dire è: "Il software open source può essere verificato e corretto quando il suo comportamento o la sua sicurezza sono in dubbio".

Qualcuno controlla il codice? Molte persone lo fanno, specialmente su progetti più grandi come Linux, la libreria C, Firefox, ecc. Di solito no, ma ho eseguito alcuni controlli sul codice che stavo eseguendo per assicurarmi che funzionasse correttamente.

Di solito non mi fido di Microsoft o Valve o di qualsiasi altro software closed source. E di solito mi fido veramente solo dei progetti open source che sono stati proattivi quando si tratta di sicurezza ".

Toemme: "Attualmente Debian sta tentando di far compilare i propri pacchetti in modo riproducibile [1], così puoi controllare se il binario che ottieni è realmente costruito dal codice sorgente che ti mostrano."

Eingaica: "La maggior parte (se non tutte) le distribuzioni binarie compilano software e non usano binari precompilati forniti dagli sviluppatori. Almeno questo è il caso del software gratuito / open source. Se puoi fidarti che i binari che ottieni dalla tua distribuzione sono identici a quelli che otterresti compilando te stesso è un problema diverso (vedi ad esempio il progetto di build riproducibili di Debian). "

OMGTokin: ”... è vero che stai installando i binari e riponi molta fiducia nell'upstream. Non appena altri hanno detto che ci saranno build riproducibili, ma fortunatamente per te la maggior parte del software che installi ha un repository git che ti permetterà di estrarre il codice sorgente per adattarlo e compilare te stesso. "

Sendme: "Il livello di paranoia di cui parli è piuttosto lontano. Il problema con il software closed source per quanto riguarda la sicurezza è che solo poche persone possono visualizzare il codice sorgente e provare a risolverlo. FOSS ha molti più sviluppatori che esaminano il codice, quindi si spera che produca più correzioni di bug ".

Tymanthius: "Ecco il punto, a meno che tu non abbia intenzione di eseguire il backup di DIVERSI strati in profondità per creare compilatori, devi iniziare a fidarti da qualche parte. Inoltre, c'è il fatto chiaro e semplice che la maggior parte di noi non è così importante / interessante da spiare ".

Justcs: "La licenza non determina la qualità del codice."

Whotookmynick: "... non puoi fidarti di una grande quantità di codice per un altro, puoi usare strumenti come WireShark, Strace ecc.

Apple e MS (e Valve) sono società con sede negli Stati Uniti, quindi se il loro governo dicesse loro di fare qualcosa, dovrebbero conformarsi. Un'altra cosa è il governo tedesco che effettivamente fa i trojan legalmente.

Per quanto riguarda la sicurezza personale oltre a questo, il tuo router filtra la maggior parte delle minacce a meno che il tuo computer non apra una porta da solo, dovresti stare bene sotto linux / bsd X può aprirne uno, sshd ne apre uno, vnc, skype / irc / qualunque cosa ma hanno avere vulnerabilità sfruttabili tramite una connessione "

Altro su Reddit