Red Hat: Open Source безопаснее проприетарного ПО
На саммите Red Hat, проходившем на прошлой неделе, старший инженер по безопасности Джош Брессерс объяснил, почему open source является лучшей моделью для построения безопасного ПО. Причем свое выступление он начал с весьма занятной фразы:
"На нас нет одежды".
Разумеется, он не имел ввиду, что все участники саммита сидели и слушали его голыми, нет, Брессерс имел ввиду, что в мире open source все «прозрачно».
"У нас нет секретов. Мы не можем просто взять и незаметно сделать патч безопасности. Ведь это все видно в доступном каждому исходном коде".
Кейт Вейнс из Esecurity Planet считает, что действительно, в отношении проприетарного ПО клиенту приходится лишь полагаться на надежность разработчика, которую сложно проверить. Тем более, что еще Михаил Горбачев говорил: "Доверяй, но проверяй".
К примеру, Microsoft выпускает обновления безопасности каждый второй вторник месяца. Брессерс говорит, что они себе такого позволить не могут. У Microsoft есть преимущество - они могут скрывать бреши в безопасности и устранять их только в свободное время, однако такое невозможно в отношении open source, потому что каждый может найти текущую проблему и обратить внимание общественности на то, что никто не занимается ее устранением.
Ну а если дыра в безопасности настолько критична, то разработчик всегда может "залатать" ее собственными силами, говорит Брессерс.
В доказательство своей правоты Брессерс привел историю с уязвимостью "ping of death". В начале девяностых кто-то выяснил, что если отправить на компьютер ICMP-пакет выше допустимого размера, то это неизбежно приведет к краху системы. Причем такая уязвимость присутствовала на всех компьютерах, роутерах, принтерах и прочих сетевых устройствах. Когда проблема была обнаружена, открытой операционной системе Linux понадобилось 2 часа, чтобы исправить ошибку, вспоминает Брессерс. Разработчикам же закрытых ОС понадобились дни, недели и даже месяцы, чтобы выпустить патч.
Быть открытым и прозрачным - мощный стимул создавать качественное ПО и исключать ошибки по мере их возникновения, однако еще одно мотивирующее преимущество открытого сообщества перед проприетарным - количественное превосходство. Если только представить, что за каждой программой в одном только Red Hat стоят разработчики, упаковщики, пользователи, представители компаний, волонтеры, то количество заинтересованных людей действительно внушает доверие.
Здесь также действует известное правило Линуса Торвальдса: "При достаточном количестве глаз найдется любая ошибка".
Брессерс также заметил, что Red Hat, Debian, SuSE и другие организации вместе работают над устранением проблем с безопасностью. «Если в Debian нашли ошибку в нашем коде, они нам скажут об этом, потому что они знают, что негатив в отношении любого opensource-проекта это негатив в отношении индустрии в целом».
В мире open source невозможно ничего спрятать. Исходные коды доступны каждому, и тысячи людей просматривают его ежедневно.
"Вот почему open source "рулит". У нас нет секретов".
"На нас нет одежды".
Разумеется, он не имел ввиду, что все участники саммита сидели и слушали его голыми, нет, Брессерс имел ввиду, что в мире open source все «прозрачно».
"У нас нет секретов. Мы не можем просто взять и незаметно сделать патч безопасности. Ведь это все видно в доступном каждому исходном коде".
Кейт Вейнс из Esecurity Planet считает, что действительно, в отношении проприетарного ПО клиенту приходится лишь полагаться на надежность разработчика, которую сложно проверить. Тем более, что еще Михаил Горбачев говорил: "Доверяй, но проверяй".
К примеру, Microsoft выпускает обновления безопасности каждый второй вторник месяца. Брессерс говорит, что они себе такого позволить не могут. У Microsoft есть преимущество - они могут скрывать бреши в безопасности и устранять их только в свободное время, однако такое невозможно в отношении open source, потому что каждый может найти текущую проблему и обратить внимание общественности на то, что никто не занимается ее устранением.
Ну а если дыра в безопасности настолько критична, то разработчик всегда может "залатать" ее собственными силами, говорит Брессерс.
В доказательство своей правоты Брессерс привел историю с уязвимостью "ping of death". В начале девяностых кто-то выяснил, что если отправить на компьютер ICMP-пакет выше допустимого размера, то это неизбежно приведет к краху системы. Причем такая уязвимость присутствовала на всех компьютерах, роутерах, принтерах и прочих сетевых устройствах. Когда проблема была обнаружена, открытой операционной системе Linux понадобилось 2 часа, чтобы исправить ошибку, вспоминает Брессерс. Разработчикам же закрытых ОС понадобились дни, недели и даже месяцы, чтобы выпустить патч.
Быть открытым и прозрачным - мощный стимул создавать качественное ПО и исключать ошибки по мере их возникновения, однако еще одно мотивирующее преимущество открытого сообщества перед проприетарным - количественное превосходство. Если только представить, что за каждой программой в одном только Red Hat стоят разработчики, упаковщики, пользователи, представители компаний, волонтеры, то количество заинтересованных людей действительно внушает доверие.
Здесь также действует известное правило Линуса Торвальдса: "При достаточном количестве глаз найдется любая ошибка".
Брессерс также заметил, что Red Hat, Debian, SuSE и другие организации вместе работают над устранением проблем с безопасностью. «Если в Debian нашли ошибку в нашем коде, они нам скажут об этом, потому что они знают, что негатив в отношении любого opensource-проекта это негатив в отношении индустрии в целом».
В мире open source невозможно ничего спрятать. Исходные коды доступны каждому, и тысячи людей просматривают его ежедневно.
"Вот почему open source "рулит". У нас нет секретов".
Ещё новости по теме:
18:20