Komentáře

Je open source opravdu bezpečný?

16. 04. 2015 | 7 komentářů
Sdílet na Facebooku Tweet

Do roku 2008 jsem měl velké problémy s malware a viry, každý rok jsem musel reinstalovat operační systém. Když jsem byl na stipendiu v Americe v roce 2008, tak jsem se už namíchl a nainstaloval jsem si Linux. Od té doby žádný bezpečnostní incident. Dokonce na počítači s distribucí Ubuntu ani nemám nainstalovaný antivir. Moje osobní zkušenost je tedy spokojenost s bezpečností open source, ale nevím, nakolik je možné z toho dělat obecné tvrzení

Jakub Michálek

Chybovat je lidské a software bude vždy obsahovat chyby a stoprocentní bezpečnost není možné zaručit. Bezpečnostní incidenty poslední doby Heartbleed a ShellShock ukázaly, že i open source obsahuje chyby neodhalené přes 20 let.

Open source se vyznačuje tím, že jeho kód je auditovatelný, a to kýmkoliv. V principu se tedy auditem kódu může zabývat mnohem větší skupina lidí než u uzavřeného zdrojového kódu. Záleží však na tom, kolik osob se auditu skutečně věnuje. Problém je, že vývojáři spíše raději kód píšou, než čtou. Je tedy vhodné mít i bezpečnostní audit napsaných programů.

Open source je na rozdíl od software s uzavřeným zdrojovým kódem vystaven veřejnému auditu (či spíše možnosti auditu). To za komerčních okolností nutí dodavatele, aby kód programoval kvalitně s dodržením standardů, což může riziko chyb snížit. Na druhé straně open source je často poskytován komunitou (která nemá právní odpovědnost za kód), což vede k tomu, že tento argument platí jen omezeně. Komunita také nezaměstnává specializované auditory bezpečnosti kódu. To je specifikum komunitně vyvíjeného open source, a tedy nelze tyto hendikepy přičítat tomu, že kód je otevřený. Komerční dodavatel může dodat open source ve stejné kvalitě, se stejnými zárukami a bezpečnostním auditem jako software s uzavřeným zdrojovým kódem. Možnost veřejného auditu je tedy u komerčně garantovaného open source přidaná hodnota.

Výhodou z hlediska bezpečnosti je, že v open source může veřejnost nejen najít chybu snadněji, ale může ji i snadněji odstranit. Pokud si IT oddělení při zavádění není jisté bezpečností některé komponenty, může si samo zkontrolovat její zdrojový kód. Pokud je zdrojový kód otevřený, může chybu rychleji odhalit a přesně popsat. Pokud IT oddělení zjistí v programu bezpečnostní díru, není závislé na jediném monopolním dodavateli software, který jediný zná zdrojový kód, ale může chybu provizorně samo opravit, aniž by muselo vypínat celý systém z důvodu kybernetické bezpečnosti. Ve veřejné správě je to obzvlášť důležité, protože závislost na jednom dodavateli brání vypisování otevřených výběrových řízení.

Průhlednost zdrojového kódu neznamená, že by měl automaticky méně chyb, ale že pro cizího člověka je jednodušší tyto chyby odhalit. To může být výhoda i nevýhoda. Komunita tímto způsobem bezpečnostní chyby odstraňuje a naopak hackeři toho mohou zneužít, ačkoliv u strojového kódu by danou chybu jinak ani nenašli.

Podle mého názoru jsou důležitější jiné faktory, které ovlivňují bezpečnost software, např. zohlednění bezpečnosti v návrhu, audit zdrojového kódu, kvalita vývojářů apod. Je nicméně rovněž pravda, že bezpečnost systému by měla vyplývat z toho, že je jeho konstrukce dobrá a solidní, nikoli z toho, že je tato konstrukce utajována (Kerkhoffův princip). Úřady, které mají na starosti kybernetickou bezpečnost, proto často odrazují od toho, aby se bezpečnost software zajišťovala pomocí utajování způsobu fungování počítačového programu namísto skutečných bezpečnostních opatření.

Bezpečnost je spíše jeden z vedlejších důvodů, proč si Rada hl. m. Prahy dala do svého programového prohlášení, že chce Open Source využívat v městské informatice. Důležitějšími důvody jsou úspora nákladů, možnost snazší spolupráce s ostatními obcemi a zejména nezávislost na dodavateli. Vedle toho vzniká organizace Otevřená města, která podporuje open source. Očekáváme, že ve veřejné správě stejně jako v komerčním odvětví dojde k rozšiřování podílu open source.

Sdílet na Facebooku Tweet

Autor: Jakub Michálek

Štítky: #bezpečnost #opensource

Zobrazit diskusi
Facebook Pirátské listy Twitter Pirátské listy Redakce Pirátských listů Česká pirátská strana
Redakce | Kontakt | Piráti | Facebook | Twitter | RSS články | RSS aktuality

Copyleft Pirátské listy. Publikování nebo další šíření obsahu serveru Pirátské listy je umožněno i bez písemného souhlasu. Všechna práva vyhlazena.