Quanto è sicuro usare un software open source [chiuso]

Backdoor in open-source software dove scoperto, sì.

In generale, open source not indica automaticamente che il software è sicuro o privo di bug. Ricorda Heartbleed in OpenSSL.

Uno dei problemi principali è che tutti potrebbero dare un'occhiata alla fonte, ma spesso nessuno in realtà pensa che qualcun altro lo abbia fatto prima. Quindi è possibile che ci siano bug o backdoor per un tempo molto lungo nascosti in qualche progetto.

Un altro problema potrebbe essere la complessità di alcuni progetti, non è possibile che una singola persona guardi la fonte e sappia che è sicura o meno - avresti bisogno di molto tempo per farlo, basta vedere la verifica della sicurezza di TrueCrypt per esempio.

In questo contesto, un problema principale dell'open-source è che tutti possono modificare il codice e condividere il proprio programma. Ci sono molti casi in questo, versioni manipolate di grandi programmi open source come Firefox, PhpMyAdmin ecc. Il normale utente PC non si accorgerà mai che c'è qualcosa di sbagliato, ma sta usando felicemente una grande backdoor.

Quindi l'open source potrebbe essere un po 'più sicuro perché in teoria chiunque potrebbe controllare il codice ma in pratica bug o backdoor potrebbero non essere scoperti per molto tempo. E per favore non fraintendermi, sono un grande fan del software open-source, ma sono consapevole dei rischi e così dovrebbe essere chiunque altro.

Sì, è possibile. Il software open source è sicuro quanto le procedure seguite per esaminare e controllare il codice.

Non si può presumere che, poiché un pacchetto software è open-source, qualcuno in realtà si è preso la briga di rivedere il codice. Quando apri un software open source ti limiti a dare l'opportunità di rivedere il codice da parte dei tuoi pari o di un altro ente, ma non hai alcuna garanzia che ciò accada. TrueCrypt e OpenSSL ( Heartbleed ) sono i primi esempi in cui una revisione / revisione del codice è stata commissionata solo dopo che alcune controversie o exploit sono esplosi attorno ad esso.

Il problema è anche che, a causa della natura informale della comunità open source, non esiste un badge o una certificazione "Questo è stato rivisto da pari" su un pacchetto open-source. Di solito la prima indicazione di un progetto che è stata attentamente esaminata, sarebbe un rapporto sulle vulnerabilità o sui backdoor. A seconda del tuo livello di paranoia, avrebbe senso non fidarsi implicitamente del software open source, ma piuttosto decidere il tuo livello di fiducia dopo alcune ricerche su di esso.

Un altro problema potrebbe essere il "Presumo che qualcun altro l'abbia fatto, quindi perché dovrei?" problema. Se non c'è una revisione formale e tutti pensano che sia stato fatto da qualcun altro, nessuno finirà per farlo. Ciò significa che il software open source è considerato attendibile da molti in base all'errata supposizione che "alcune altre persone intelligenti" sicuramente l'abbiano guardato.

I motivi sopra riportati, tra gli altri, sono ciò che ha portato alla creazione di L'iniziativa per un'infrastruttura di base della Linux Foundation .

Prima di tutto il software open source può essere visualizzato all'interno e controllato per le backdoor in modo che l'aspetto "non catturato" cada immediatamente all'istante. E come ha detto @schroeder, i bug e gli errori possono creare insicurezze ma non è intenzionale e quindi non è esattamente una backdoor.

può essere inaffidabile, sì, ma l'altra alternativa, il "vicino-sorgente", il proprietario, è in realtà non attendibile. Ora hai deciso con te segreti professionali, i tuoi progetti industriali, di affidarli a mani di proprietari e ai loro "amici del governo spia" o di lasciarli a software open source che era, ed è, recensito da un programmatore di tutto il mondo.

Scusami il mio pessimo inglese