Red Hat: Open Source безопаснее проприетарного ПО

Четверг, 1 июля 2010 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

На саммите Red Hat, проходившем на прошлой неделе, старший инженер по безопасности Джош Брессерс объяснил, почему open source является лучшей моделью для построения безопасного ПО. Причем свое выступление он начал с весьма занятной фразы:

"На нас нет одежды".

Разумеется, он не имел ввиду, что все участники саммита сидели и слушали его голыми, нет, Брессерс имел ввиду, что в мире open source все «прозрачно».

"У нас нет секретов. Мы не можем просто взять и незаметно сделать патч безопасности. Ведь это все видно в доступном каждому исходном коде".

Кейт Вейнс из Esecurity Planet считает, что действительно, в отношении проприетарного ПО клиенту приходится лишь полагаться на надежность разработчика, которую сложно проверить. Тем более, что еще Михаил Горбачев говорил: "Доверяй, но проверяй".

К примеру, Microsoft выпускает обновления безопасности каждый второй вторник месяца. Брессерс говорит, что они себе такого позволить не могут. У Microsoft есть преимущество - они могут скрывать бреши в безопасности и устранять их только в свободное время, однако такое невозможно в отношении open source, потому что каждый может найти текущую проблему и обратить внимание общественности на то, что никто не занимается ее устранением.

Ну а если дыра в безопасности настолько критична, то разработчик всегда может "залатать" ее собственными силами, говорит Брессерс.

В доказательство своей правоты Брессерс привел историю с уязвимостью "ping of death". В начале девяностых кто-то выяснил, что если отправить на компьютер ICMP-пакет выше допустимого размера, то это неизбежно приведет к краху системы. Причем такая уязвимость присутствовала на всех компьютерах, роутерах, принтерах и прочих сетевых устройствах. Когда проблема была обнаружена, открытой операционной системе Linux понадобилось 2 часа, чтобы исправить ошибку, вспоминает Брессерс. Разработчикам же закрытых ОС понадобились дни, недели и даже месяцы, чтобы выпустить патч.

Быть открытым и прозрачным - мощный стимул создавать качественное ПО и исключать ошибки по мере их возникновения, однако еще одно мотивирующее преимущество открытого сообщества перед проприетарным - количественное превосходство. Если только представить, что за каждой программой в одном только Red Hat стоят разработчики, упаковщики, пользователи, представители компаний, волонтеры, то количество заинтересованных людей действительно внушает доверие.

Здесь также действует известное правило Линуса Торвальдса: "При достаточном количестве глаз найдется любая ошибка".

Брессерс также заметил, что Red Hat, Debian, SuSE и другие организации вместе работают над устранением проблем с безопасностью. «Если в Debian нашли ошибку в нашем коде, они нам скажут об этом, потому что они знают, что негатив в отношении любого opensource-проекта это негатив в отношении индустрии в целом».

 В мире open source невозможно ничего спрятать. Исходные коды доступны каждому, и тысячи людей просматривают его ежедневно.

"Вот почему open source "рулит". У нас нет секретов".

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 385
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003