Инструменты безопасности с открытым исходным кодом


Независимость


В программах с открытыми исходными текстами обнаружение и исправление проблем с безопасностью происходит значительно быстрее. Коммерческие компании зачастую имеют серьезные материальные стимулы не признавать уязвимости в своих продуктах. Множество уязвимостей, найденных в продукте, особенно защитном, может отпугнуть новых заказчиков. Если это акционерная компания открытого типа, то цена акций может упасть. Кроме того, разработка корректирующих заплат и передача их заказчикам - дорогое удовольствие, которое обычно не приносит прибыли. Поэтому заставить компанию признать проблему с безопасностью ее программного продукта может быть непросто. Это означает, что могут пройти дни или недели, в течение которых системы клиентов будут по-прежнему уязвимы. Разочарованные этим процессом, некоторые исследователи безопасности приняли политику открытой публикации данных о новых уязвимостях.

Когда уязвимость общеизвестна, компания выполняет сложный процесс разработки и тестирования исправлений, чтобы избежать проблем, связанных с обязательствами перед заказчиками, и выпустить исправление для всех платформ одновременно. А значит, пройдет еще больше времени, в течение которого хакеры смогут воспользоваться известной уязвимостью.

Проекты ПО с открытыми исходными текстами не имеют таких ограничений. Корректирующие заплаты обычно появляются в течение часов или дней, а не недель. И, конечно, не обязательно ждать официальной коррекции; если вы хорошо понимаете код, то можете написать собственную заплату или создать временный обход.

Общее мнение сообщества открытого ПО состоит в том, что безопасность наилучшим образом обеспечивается в результате критического анализа большим число людей, которые явно не заинтересованы в том, чтобы не выявить какие-либо уязвимости. Такие же меры качества применяют в своей работе специалисты по криптографии. Концепция открытости исходных текстов не гарантирует, что вы получите более защищенное программное обеспечение, но благодаря ей не приходится верить компании на слово, что ее продукт безопасен, а потом дожидаться решения очередных проблем с безопасностью.




Начало  Назад  Вперед