Varför är programvara med öppen källkod säkrare?

Varför är programvara med öppen källkod säkrare?

Öppen källkodsprogramvara har länge haft rykte om att vara säkrare än sina motsvarigheter med slutna källor. Men vad är det som gör programvara med öppen källkod säkrare? En redditor ställde nyligen den frågan och fick några intressanta svar.

Parasymphatetic ställde sin fråga i Linux subreddit:

Så det finns ett vanligt argument att Linux och programvara med öppen källkod är säkrare än deras Windows-motsvarigheter. Nu, som öppen källkod och total Linux-nybörjare har jag följande fråga: Hur?

Hur vet du att det kompilerade programmet du laddar ner är precis som källkoden de gav? Och kontrollerar någon faktiskt tiotusentals rader kod som tillhandahålls av någon? Gör du?

Och lägger du inte samma förtroende för människorna i Valve och Blender som Windows-användare som litar illa på Microsoft?

Mer på Reddit

Hans andra Linux redditors svarade med sina tankar om varför programvara med öppen källkod är säkrare:

Bushwacker: ”Allt är tillgängligt för inspektion. Du kan bygga koden själv, inklusive kärnan. Nu om bakdörrar i kompilatorer är det en annan historia. ”

AiwendilH: ”Det är inte så att opensource-programvaran nödvändigtvis är bättre konstruerad ... utan utan källkoden är det omöjligt att se vad ett program gör. Så open source-programvara ses som säkrare eftersom det är den enda typen av programvara som kan kontrolleras för säkerhet alls utan att blindt behöva lita på någon ... allt som inte är öppen källkod kan inte kontrolleras och av detta måste ses som osäker. ”

Daemonpenguin: ”Öppen källkod är inte automatiskt säkrare än sluten källa. Skillnaden är med öppen källkod som du själv kan verifiera (eller betala någon för att verifiera åt dig) om koden är säker. Med program med slutna källor måste du tro på att en kod kod fungerar korrekt, öppen källkod gör att koden kan testas och verifieras för att fungera korrekt.

Öppen källkod tillåter också vem som helst att fixa trasig kod, medan stängd källa endast kan fixas av leverantören.

Med tiden betyder det att öppen källkodsprojekt (som Linux-kärnan) tenderar att bli säkrare människor fler människor testar och fixar koden.

Den som gör ett allmänt uttalande som "Öppen källkod är säkrare" har fel. Vad de borde säga är: "Programvara med öppen källkod kan granskas och fixas när dess beteende eller säkerhet är tveksamt."

Kontrollerar någon koden? Många människor gör, särskilt på större projekt som Linux, C-biblioteket, Firefox, etc. Gör jag det? Vanligtvis nej, men jag har gjort några granskningar av koden jag körde för att se till att den fungerade ordentligt.

Jag litar vanligtvis inte på Microsoft eller Valve eller någon annan sluten källkodsprogramvara. Och jag litar vanligtvis bara riktigt på open source-projekt som har varit proaktiva när det gäller säkerhet. ”

Toemme: ”För närvarande försöker Debian få sina paket att reproduceras [1], så du kan kontrollera om det binära du får verkligen är byggt från källkoden de visar dig.”

Eingaica: ”De flesta (om inte alla) binära distributioner kompilerar programvara och använder inte förkompilerade binärer som tillhandahålls av utvecklarna. Det är åtminstone fallet för gratis / öppen källkodsprogramvara. Oavsett om du kan lita på att binärfilerna du får från din distro är identiska med vad du skulle få genom att kompilera dig själv är ett annat problem (se t.ex. Debians reproducerbara byggprojekt). ”

OMGTokin: ”... det är sant att du installerar binära filer och lägger mycket förtroende för uppströms. Ganska snart som andra har nämnt kommer reproducerbara byggnader, men lyckligtvis för dig har de flesta programvaror du installerar ett git-arkiv som gör att du kan dra källkoden för att anpassa dig och kompilera dig själv. ”

Sendme: ”Nivån på paranoia du pratar om är ganska långt där ute. Problemet med sluten källprogramvara när det gäller säkerhet är att endast ett fåtal personer kan se källkoden och försöka fixa den. FOSS har mycket fler utvecklare som tittar på koden så förhoppningsvis ger det fler bugfixar. ”

Tymanthius: ”Här är saken, om du inte säkerhetskopierar FLER lager djupt för att göra kompilatorer, måste du börja lita på någonstans. Det finns också det enkla och enkla faktum att de flesta av oss inte är så viktiga / intressanta att spionera på. ”

Justcs: ”Licens dikterar inte kodkvalitet.”

Whotookmynick: ”... du kan inte lita på någon större mängd kod för en annan du kan använda verktyg som wireshark, strace etc.

Apple och MS (och ventil) är USA-baserade företag, så om deras regering sa till dem att göra något skulle de behöva följa. En annan sak är den tyska regeringen som faktiskt gör trojaner lagligt.

När det gäller personlig säkerhet bortom det, filtrerar din router bort de flesta hoten om inte din dator öppnar en port själv, du borde ha det bra under Linux / bsd X kan öppna en, sshd öppnar en, vnc, skype / irc / vad som helst men de har att ha sårbarheter som kan utnyttjas via en anslutning ”

Mer på Reddit