Når folk foretager softwarevalg, er sikkerhed ofte tæt på toppen af deres prioritetslister. Og hvis det ikke er tilfældet, burde det være det! Men de spekulerer typisk på forskellene mellem lukket og open source-software.
Så hvad er forskellen mellem open- og closed source? Er open source-software virkelig sikker?
Open Source vs. Lukket kildesoftware
Folk gør open source-software frit tilgængeligt for alle. Offentligheden kan bruge, kopiere, ændre og omfordele det. Plus, som navnet antyder, kan alle se kildekoden.
Lukket kildesoftware har tæt beskyttet kode, som kun autoriserede personer kan se eller ændre. Omkostningerne dækker folks ret til at bruge det, men kun inden for grænserne af licensaftalen for slutbrugeren.
Open Source-synlighed har sikkerhedsmæssige fordele og ulemper
Evnen for enhver til at se kildekoden giver store fordele for open source-sikkerhed. Udvikling bliver en samfundsindsats, der deltages i af mennesker fra hele verden.
Det betyder, at fejl ofte bliver plettet og løst hurtigere, end hvis kun en meget mindre gruppe af enkeltpersoner undersøgte koden.
Dog hackere udnyt tilgængeligheden af open source-kode også. De kunne bruge det til at planlægge angreb eller tage sårbarheder til efterretning.
Udviklere med en ægte interesse i at forbedre open source-software adresserer de problemer, de finder, eller rapporterer i det mindste problemerne til nogen med færdigheder til at tackle dem. Enhver med ondsindede intentioner håber ting går ubemærket så længe som muligt.
Disse virkeligheder får cybersikkerhedsfagfolk til at advare om, at open source-software kan bringe organisationer i fare. Et problem er, at kriminelle kunne se koden og injicere farligt indhold i den. Alternativt kunne disse parter målrette mod virksomheder der ikke har streng praksis til download af softwarepatches med tilstrækkelig frekvens.
Da open source-software ikke har nogen central myndighed, der administrerer den, er det svært for nogen at vide, hvilke versioner der bruges oftest. Titler kan opdateres så ofte, at en organisations it-teams ikke er klar over, at de har en gammel version med alvorlige sikkerhedsproblemer.
Tredjeparts softwarebiblioteker udgør sikkerhedsrisici med open source
Udviklere bruger ofte tredjeparts softwarebiblioteker for at spare tid. De er genanvendelige komponenter udviklet af en anden enhed end den oprindelige udbyder. En fordel er, at de tillader brug af forudtestet kode.
Populære biblioteker testes i mange miljøer for en bred vifte af brugssager. Den naturlige brugsfrekvens betyder, at der ofte rapporteres om fejl. Det betyder dog ikke nødvendigvis, at tredjeparts softwarebiblioteker har overlegen sikkerhed, selv når man diskuterer dem, der er forbundet med open source-software.
Én undersøgelse fandt ud af, at tredjepartsbiblioteker til open source-software i næsten 80 procent af tilfældene ikke opdateres, når udviklere føjer dem til kodebaser. Forskerne, der var involveret i undersøgelsen, advarede om, hvordan manglen på opdateringer kunne have knock-on effekter.
Nogle af de nyeste og mest anvendte softwaretitler er afhængige af softwarebiblioteker fra tredjepart under udvikling. En fejl kunne påvirke alle de produkter, der er forbundet med et problematisk bibliotek. Et andet bekymrende fund er, at mere end en fjerdedel af de adspurgte udviklere var uvidende eller usikker på nogen formel proces, der blev brugt til at vælge tredjepartsbiblioteker.
Relaterede: Hvad er en nul dagsudnyttelse, og hvordan fungerer angreb?
En positiv konklusion fra undersøgelsen var imidlertid, at softwareopdateringer løser 92 procent af fejl i tredjeparts softwarebiblioteker. Derudover kræver 69 procent af opdateringer kun en mindre versionskift eller noget, der er endnu mindre omfattende.
Endnu mere lovende var, at udviklere kunne løse 17 procent af disse fejl på en time. Det betyder, at adressering af disse open source-biblioteksproblemer ikke altid er ekstremt tidskrævende eller kompliceret.
Hvordan bugopløsningshastighed påvirker open source-sikkerhed
En af de vigtigste problemer med forældet software er, at det efterlader brugerne i fare for potentielle sikkerhedsfejl. I en ideel verden vil udviklere bemærke og rette alle fejl, før software når offentligheden. Det er dog et urealistisk mål.
Den næstbedste mulighed er at frigive softwarepatches kort efter, at sårbarheder bliver synlige. Sikkerhedsforskere advarer ofte udbydere af software med lukket kilde om problemer, der har brug for hurtige rettelser. Imidlertid følger de mennesker, der udvikler disse produkter, frigivelsesplaner valgt af overordnede.
Beslutningstagerne prioriterer heller ikke altid alle sårbarheder. Nogle forbliver uadresseret i måneder eller år efter, at den første identifikation fandt sted. Et relateret problem er, at mange udviklere kæmper med overdrevne eller ubalancerede arbejdsbelastninger, der kan begrænse deres evne til hurtigt at rette fejl hurtigt, selv med de bedste intentioner.
En anden undersøgelse fandt ud af, at 38 procent af udviklerne bruger en fjerdedel af deres tilgængelige tid på at rette softwarefejl. Omkring 26 procent af respondenterne sagde, at opgaven tager halvdelen af deres arbejdsdage. Et andet iøjnefaldende fund var, at 32 procent af udviklerne bruger op til 10 timer om ugen på at rette fejl i stedet for at skrive kode.
Udviklere tager adskillige forholdsregler for at undgå at frigive problematisk kode. For eksempel dækning fra Blue Sentry diskuteret, hvordan en sandkassedatabase giver en spejlversion af produktionsmiljøet og eventuelle aktuelle implementeringscyklusændringer.
Webudviklingsfagfolk kan lære og teste ting uden større ugunstige konsekvenser, der påvirker et helt team. Men der sker stadig bugs.
Da open source-software har hele udviklingssamfund, der arbejder på at forbedre det, er der en høj chance for, at en person med de rette færdigheder og tidsplanstilgængelighed kan målrette mod en fejl og få den fast. Det kan betyde, at kendte sårbarheder ikke forbliver uadresseret, så længe de måtte have en softwaretitel med lukket kilde.
Softwareafhængigheder findes, når et operativsystem er afhængigt af et andet, der fungerer. Når det kommer til open source-software, gør det hurtige tempo med ændringer det ofte vanskeligt for udviklere at forstå, om nogen af deres afhængigheder vedrører forældede versioner.
Imidlertid udgav Google for nylig et webbaseret visualiseringsværktøj kaldet Open Source Insights for at løse dette problem. Det giver brugerne et overblik over de komponenter, der er knyttet til en softwarepakke.
Da informationen indeholder detaljer om afhængigheder og deres egenskaber, får udviklingsfagfolk en klarere idé om, hvorvidt forældet open source-software kan forårsage problemer senere.
Udover at se på afhængighedsgrafer kan folk bruge et sammenligningsværktøj, der viser, hvordan forskellige pakkeversioner kan påvirke afhængigheder. Nogle gange løser en nyere et sikkerhedsproblem. Ved at tilbyde dette værktøj sigter Google mod at gøre det lettere for udviklere at blive mere opmærksomme på, hvordan de bruger open source-software.
At have den nye viden kunne forbedre sikkerheden og den samlede brugervenlighed.
Open Source-software: Ikke en total sikkerhedsløsning
Denne oversigt viser, hvorfor open source-software ikke altid er det mest sikre valg i forhold til software med lukket kilde. Ikke desto mindre er der også mange gode ting ved open source-software.
Folk, der agter at bruge det af personlige årsager eller inden for deres organisationer, bør afveje fordele og ulemper for at nå frem til en beslutning.
Leder du efter gratis open source-apps til Windows? Her er nogle af de bedste software, du kan installere.
Læs Næste
- Sikkerhed
- Onlinesikkerhed
- Open Source
Shannon er en indholdsskaber beliggende i Philly, PA. Hun har skrevet inden for teknologifeltet i cirka 5 år efter eksamen med en grad i IT. Shannon er administrerende redaktør for ReHack Magazine og dækker emner som cybersikkerhed, spil og forretningsteknologi.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.