Når folk tar programvarevalg, er sikkerhet ofte nær toppen av prioritetslistene. Og hvis det ikke er det, burde det være det! Imidlertid lurer de vanligvis på forskjellene mellom lukket programvare og åpen kildekode.
Så hva er forskjellen mellom åpen og lukket kilde? Er programvare med åpen kildekode virkelig sikker?
Åpen kildekode vs. Programvare med lukket kilde
Folk gjør programvare med åpen kildekode fritt tilgjengelig for alle. Publikum kan bruke, kopiere, endre og distribuere det. I tillegg, som navnet antyder, kan alle se kildekoden.
Programvare med lukket kilde har tett beskyttet kode som bare autoriserte personer kan se eller endre. Kostnaden dekker folks rett til å bruke den, men bare innenfor grensene for lisensavtalen for sluttbrukeren.
Åpen kildesynlighet har sikkerhetsfordeler og ulemper
Evnen til å se kildekoden gir store fordeler for åpen kildekodesikkerhet. Utvikling blir en samfunnsinnsats deltatt i av mennesker fra hele verden.
Det betyr at feil ofte blir oppdaget og løst raskere enn om bare en mye mindre gruppe individer undersøkte koden.
Imidlertid hackere utnytte tilgjengeligheten av åpen kildekode også. De kan bruke den til å planlegge angrep eller ta oppmerksom på sårbarheter.
Utviklere med en genuin interesse i å forbedre programvare med åpen kildekode adresserer problemene de finner, eller rapporterer i det minste problemene til noen med ferdigheter til å takle dem. Alle med ondsinnede intensjoner håper ting går ubemerket så lenge som mulig.
Disse realitetene får cybersecurity-fagfolk til å advare om at programvare med åpen kildekode kan sette organisasjoner i fare. Et problem er at kriminelle kunne se koden og injisere farlig innhold i den. Alternativt kan disse partiene målrette seg mot selskaper som ikke har streng praksis for nedlasting av programvareoppdateringer med tilstrekkelig frekvens.
Siden programvare med åpen kildekode ikke har noen sentral myndighet som styrer den, er det vanskelig for noen å vite hvilke versjoner som brukes ofte. Titler kan oppdateres så ofte at IT-teamene til en organisasjon ikke innser at de har en gammel versjon med alvorlige sikkerhetsproblemer.
Tredjeparts programvarebiblioteker utgjør sikkerhetsrisiko med åpen kildekode
Utviklere bruker ofte tredjeparts programvarebiblioteker for å spare tid. De er gjenbrukbare komponenter utviklet av en annen enhet enn den opprinnelige leverandøren. En fordel er at de tillater bruk av forhåndstestet kode.
Populære biblioteker er testet i mange miljøer for et bredt spekter av brukssaker. Den naturlige bruksfrekvensen betyr at feil ofte rapporteres. Det betyr imidlertid ikke nødvendigvis at tredjeparts programvarebiblioteker har overlegen sikkerhet, selv når vi diskuterer de som er tilknyttet programvare med åpen kildekode.
Én studie fant ut at tredjepartsbiblioteker for programvare med åpen kildekode i nesten 80 prosent av tilfellene ikke oppdateres etter at utviklere har lagt dem til kodebaser. Forskerne som var involvert i studien advarte om hvordan mangel på oppdateringer kan ha knock-on effekter.
Noen av de nyeste og mest brukte programvaretitlene er avhengige av tredjeparts programvarebiblioteker under utviklingen. En feil kan påvirke alle produktene knyttet til et problematisk bibliotek. Et annet bekymringsfullt funn er at mer enn en fjerdedel av undersøkte utviklere var uvitende om eller usikker på noen formell prosess som ble brukt til å velge tredjepartsbiblioteker.
I slekt: Hva er en null dagers utnyttelse og hvordan fungerer angrep?
En positiv konklusjon fra studien var imidlertid at programvareoppdateringer løser 92 prosent av feilene i tredjeparts programvarebiblioteker. I tillegg krever 69 prosent av oppdateringene bare en mindre versjonsendring eller noe enda mindre omfattende.
Enda mer lovende var at utviklere kunne fikse 17 prosent av disse feilene på en time. Det betyr at det ikke alltid er ekstremt tidskrevende eller komplisert å takle disse problemene med open source-biblioteket.
Hvordan feiloppløsningshastighet påvirker åpen kildekode-sikkerhet
En av hovedproblemer med utdatert programvare er at brukerne risikerer potensielle sikkerhetsfeil. I en ideell verden vil utviklere legge merke til og fikse alle feil før programvaren når publikum. Det er imidlertid et urealistisk mål.
Det nest beste alternativet er å frigjøre programvareoppdateringer kort tid etter at sårbarheter blir synlige. Sikkerhetsforskere varsler ofte leverandører av programvare med lukket kilde om problemer som trenger raske løsninger. Imidlertid følger de som utvikler disse produktene utgivelsesplaner valgt av overordnede.
Beslutningstakere prioriterer ikke alltid alle sårbarheter. Noen forblir adressert i flere måneder eller år etter at den første identifikasjonen fant sted. Et relatert problem er at mange utviklere sliter med overdreven eller ubalansert arbeidsbelastning som kan begrense deres evne til å fikse feil raskt, selv med de beste intensjoner.
Nok en undersøkelse fant ut at 38 prosent av utviklerne bruker en fjerdedel av sin tilgjengelige tid på å fikse programvarefeil. Rundt 26 prosent av respondentene sa at oppgaven tar halvparten av arbeidsdagene. Et annet øyeblikkelig funn var at 32 prosent av utviklerne bruker opptil 10 timer per uke på å fikse feil i stedet for å skrive kode.
Utviklere tar mange forholdsregler for å unngå å gi ut problematisk kode. For eksempel dekning fra Blue Sentry diskutert hvordan en sandkassedatabase gir en speilversjon av produksjonsmiljøet og eventuelle gjeldende distribusjonssyklusendringer.
Webutviklere kan lære og teste ting uten store negative konsekvenser som påvirker et helt team. Men feil skjer fortsatt.
Siden programvare med åpen kildekode har hele utviklingssamfunn som jobber for å forbedre den, er det en høy sjansen for at noen med de riktige ferdighetene og tidsplantilgjengeligheten kan målrette en feil og få den fikset. Det kan bety at kjente sårbarheter ikke forblir adressert så lenge de kan ha en programvaretittel med lukket kilde.
Programvareavhengigheter eksisterer når ett operativsystem er avhengig av at et annet fungerer. Når det gjelder programvare med åpen kildekode, gjør det raske endringstempoet det ofte vanskelig for utviklere å forstå om noen av deres avhengigheter gjelder utdaterte versjoner.
Imidlertid ga Google nylig ut et nettbasert visualiseringsverktøy kalt Open Source Insights for å løse det problemet. Det gir brukerne en oversikt over komponentene som er tilknyttet en programvarepakke.
Siden informasjonen inneholder detaljer om avhengigheter og deres egenskaper, får utviklingspersoner en klarere ide om hvorvidt utdaterte programvare med åpen kildekode kan forårsake problemer senere.
Foruten å se på avhengighetsgrafer, kan folk bruke et sammenligningsverktøy som viser hvordan forskjellige pakkeversjoner kan påvirke avhengigheter. Noen ganger løser en nyere et sikkerhetsproblem. Ved å tilby dette verktøyet har Google som mål å gjøre det lettere for utviklere å bli mer bevisste på hvordan de bruker programvare med åpen kildekode.
Å ha den nye kunnskapen kan forbedre sikkerhet og generell brukervennlighet.
Programvare med åpen kildekode: Ikke en total sikkerhetsløsning
Denne oversikten viser hvorfor programvare med åpen kildekode ikke alltid er det sikreste valget sammenlignet med programvare med lukket kildekode. Likevel er det mange gode ting med programvare med åpen kildekode.
Folk som har tenkt å bruke det av personlige årsaker eller i organisasjonene sine, bør veie fordeler og ulemper for å komme til en avgjørelse.
Leter du etter gratis open source-apper for Windows? Her er noen av de beste programvarene du kan installere.
Les Neste
- Sikkerhet
- Online sikkerhet
- Åpen kilde
Shannon er en innholdsskaper som ligger i Philly, PA. Hun har skrevet innen teknologifeltet i omtrent 5 år etter at hun ble uteksaminert med en grad i IT. Shannon er administrerende redaktør for ReHack Magazine og dekker emner som cybersikkerhet, spill og forretningsteknologi.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.
