כשאנשים בוחרים תוכנה, לעתים קרובות האבטחה נמצאת בראש רשימות העדיפויות שלהם. ואם זה לא, זה צריך להיות! עם זאת, הם בדרך כלל תוהים לגבי ההבדלים בין תוכנת קוד פתוח.
אז מה ההבדל בין קוד פתוח למקור סגור? האם תוכנת קוד פתוח באמת מאובטחת?
קוד פתוח לעומת תוכנת מקור סגור
אנשים הופכים תוכנת קוד פתוח לזמינה באופן חופשי לכולם. הציבור יכול להשתמש בו, להעתיק, לשנות ולהפיץ אותו מחדש. בנוסף, כפי שהשם מרמז, כל אחד יכול לראות את קוד המקור.
תוכנת מקור סגור כוללת קוד שמור היטב שרק אנשים מורשים יכולים לראות או לשנות. העלות מכסה את זכותם של אנשים להשתמש בה, אך רק בגבולות הסכם הרישיון למשתמש הקצה.
לנראות קוד פתוח יש יתרונות וחסרונות אבטחה
היכולת של כל אחד לראות את קוד המקור מביא יתרונות גדולים עבור אבטחת קוד פתוח. פיתוח הופך למאמץ קהילתי בו משתתפים אנשים מכל רחבי העולם.
כלומר, שגיאות לעיתים קרובות מתגלות ומתוקנות מהר יותר מאשר אם רק קבוצה קטנה בהרבה של בודקים את הקוד.
עם זאת, האקרים לנצל את הנגישות של קוד קוד פתוח מדי. הם יכולים להשתמש בו לתכנון התקפות או לשים לב לפגיעות.
מפתחים עם עניין אמיתי בשיפור תוכנת קוד פתוח מטפלים בבעיות שהם מוצאים או לפחות מדווחים על הבעיות למישהו עם הכישורים להתמודד איתם. כל מי שיש לו כוונות זדוניות מקווה שהדברים ייעלמו מעין זמן רב ככל האפשר.
מציאות זו גורמת למקצוענים בתחום אבטחת הסייבר להזהיר כי תוכנת קוד פתוח עלולה לסכן ארגונים. נושא אחד הוא שעבריינים יכלו לראות את הקוד ולהזריק אליו תוכן מסוכן. לחלופין, הצדדים הללו יוכלו למקד לחברות שאין להם נוהגים קפדניים להורדת תיקוני תוכנה בתדירות מספקת.
מכיוון שלתוכנת קוד פתוח אין סמכות מרכזית המנהלת אותה, קשה לאף אחד לדעת באילו גרסאות משתמשים לרוב. ניתן לעדכן כותרות בתדירות גבוהה כל כך עד שצוותי ה- IT של הארגון לא מבינים שיש להם גרסה ישנה עם בעיות אבטחה קשות.
ספריות תוכנה של צד שלישי מציבות סיכוני אבטחה עם קוד פתוח
מפתחים משתמשים לרוב בספריות תוכנה של צד שלישי כדי לחסוך זמן. מדובר ברכיבים לשימוש חוזר שפותחו על ידי ישות שאינה הספק המקורי. יתרון אחד הוא שהם מאפשרים שימוש בקוד שנבדק מראש.
ספריות פופולריות נבדקות בסביבות רבות למגוון רחב של מקרי שימוש. התדירות הטבעית של השימוש פירושה שאגים מדווחים לעתים קרובות. עם זאת, זה לא בהכרח אומר שלספריות התוכנה של צד שלישי יש אבטחה מעולה, גם כאשר דנים באלה הקשורים לתוכנת קוד פתוח.
מחקר אחד מצא שכמעט 80 אחוז מהמקרים ספריות צד שלישי לתוכנות קוד פתוח אינן מעודכנות לאחר שמפתחים מוסיפים אותן לבסיסי הקוד. החוקרים המעורבים במחקר הזהירו כיצד לחוסר העדכונים יכולות להיות השפעות נוק.
חלק מכותרות התוכנה החדשות והנפוצות ביותר מסתמכות על ספריות תוכנה של צד שלישי במהלך הפיתוח. פגם אחד עלול להשפיע על כל המוצרים הקשורים לספריה בעייתית. ממצא מדאיג נוסף הוא שיותר מרבע מהיזמים שנבדקו לא היו מודעים או לא בטוחים בתהליך רשמי ששימש לבחירת ספריות צד שלישי.
קָשׁוּר: מהי ניצול אפס יום וכיצד פועלות התקפות?
עם זאת, מסקנה חיובית מהמחקר הייתה שעדכוני תוכנה פותרים 92 אחוז מהפגמים בספריות תוכנה של צד שלישי. בנוסף, 69 אחוז מהעדכונים דורשים רק שינוי גרסא קל או משהו אפילו פחות נרחב.
מבטיח עוד יותר היה שמפתחים יוכלו לתקן 17 אחוז מהפגמים הללו בשעה אחת. פירוש הדבר שטיפול בבעיות ספריית קוד פתוח אינו תמיד זמן רב או מסובך.
כיצד מהירות רזולוציית באגים משפיעה על אבטחת קוד פתוח
אחד מ הבעיות העיקריות בתוכנות מיושנות זה שמשאיר משתמשים בסיכון לפגמים אבטחתיים פוטנציאליים. בעולם אידיאלי, מפתחים יבחינו ויתקנו את כל התקלות לפני שהתוכנה תגיע לציבור. אולם זו מטרה לא ריאלית.
האפשרות הטובה ביותר הבאה היא שחרור תיקוני תוכנה זמן קצר לאחר שהפגיעויות מתגלות. חוקרי אבטחה לעיתים קרובות מתריעים בפני ספקי תוכנת קוד סגור על בעיות שדורשות תיקונים מהירים. עם זאת, האנשים המפתחים מוצרים אלו עוקבים אחר לוחות הזמנים שנבחרו על ידי הממונים.
גם מקבלי ההחלטות לא תמיד נותנים עדיפות לכל הפגיעות. חלקם נותרים ללא טיפול חודשים או שנים לאחר התרחשות הזיהוי הראשוני. נושא קשור הוא שמפתחים רבים נאבקים בעומסי עבודה מוגזמים או לא מאוזנים שעשויים להגביל מאוד את יכולתם לתקן באגים במהירות, אפילו בכוונות הטובות ביותר.
סקר נוסף גילו כי 38 אחוז מהמפתחים משקיעים רבע מזמנם הפנוי בתיקון באגים בתוכנה. כ -26 אחוז מהנשאלים אמרו שהמשימה אורכת מחצית מימי העבודה שלהם. ממצא מאיר עיניים נוסף היה ש -32 אחוז מהיזמים משקיעים עד 10 שעות בשבוע בתיקון באגים במקום לכתוב קוד.
מפתחים נוקטים אמצעי זהירות רבים כדי להימנע משחרור קוד בעייתי. לדוגמא, כיסוי מ זקיף כחול דן כיצד מסד נתונים של ארגז חול מעניק גרסת מראה של סביבת הייצור וכל שינוי במחזור הפריסה הנוכחי.
אנשי מקצוע לפיתוח אתרים יכולים ללמוד ולבדוק דברים ללא השלכות שליליות משמעותיות המשפיעות על צוות שלם. אבל באגים עדיין קורים.
מכיוון שלתוכנת קוד פתוח יש קהילות פיתוח שלמות הפועלות לשיפורן, יש שיא סיכוי שמישהו עם הכישורים הנכונים וזמינות לוח הזמנים יכול למקד לבאג ולקבל אותו תוקן. פירוש הדבר שפגיעויות ידועות אינן נותרות ללא טיפול כל עוד הן עשויות להיות בעלות כותרת תוכנה של קוד סגור.
תלות בתוכנה קיימת כאשר מערכת הפעלה אחת מסתמכת על פעולה אחרת. כשמדובר בתוכנת קוד פתוח, קצב השינוי המהיר מקשה לעתים קרובות על מפתחים להבין אם אחת מהתלות שלהם נוגעת לגרסאות מיושנות.
עם זאת, גוגל פרסמה לאחרונה כלי הדמיה מבוסס אינטרנט בשם תובנות קוד פתוח כדי לטפל בבעיה זו. זה נותן למשתמשים סקירה של הרכיבים המשויכים לחבילת תוכנה.
מכיוון שהמידע כולל פרטים על תלות ותכונותיהם, אנשי מקצוע בתחום הפיתוח מקבלים מושג ברור יותר האם תוכנת קוד פתוח מיושנת עלולה לגרום לבעיות בהמשך.
מלבד התבוננות בגרפי תלות, אנשים יכולים להשתמש בכלי השוואה שמראה כיצד גרסאות חבילה שונות עשויות להשפיע על תלות. לפעמים, חדש יותר מטפל בבעיית אבטחה. באמצעות הכלי הזה, גוגל שואפת להקל על מפתחים להיות מודעים יותר לאופן שבו הם משתמשים בתוכנת קוד פתוח.
הידע החדש הזה יכול לשפר את האבטחה ואת השימושיות הכוללת.
תוכנת קוד פתוח: לא פיתרון אבטחה כולל
סקירה זו מראה מדוע תוכנת קוד פתוח אינה תמיד הבחירה הבטוחה ביותר בהשוואה לתוכנת קוד סגור. עם זאת, יש גם הרבה דברים טובים בתוכנת קוד פתוח.
אנשים שמתכוונים להשתמש בו מסיבות אישיות או בארגונים שלהם צריכים לשקול את היתרונות והחסרונות כדי להגיע להחלטה.
מחפש אפליקציות קוד פתוח בחינם עבור Windows? הנה כמה מהתוכנות הטובות ביותר שתוכל להתקין.
קרא הבא
- בִּטָחוֹן
- אבטחה מקוונת
- קוד פתוח
שאנון הוא יוצר תוכן הממוקם בפילי, פנסילבניה. היא כותבת בתחום הטכנולוגי כ -5 שנים לאחר שסיימה תואר ב- IT. שאנון הוא העורך הראשי של מגזין ReHack ומכסה נושאים כמו אבטחת סייבר, גיימינג וטכנולוגיה עסקית.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
צעד אחד נוסף !!!
אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.