Почему открытые исходники не есть хорошо с точки зрения безопасности?

Еще одно исследование. «The Mathematics of Obscurity: On the Trustworthiness of Open Source». Дрезденский технический университет. Автор исследования поставил перед собой задачу ответить на вопрос: что лучше с точки зрения безопасности — иметь исходные коды ПО или не иметь их?

В рамках исследования была построена модель, которая и стала предметом изучения. Были исследованы как «за» так и «против» наличия исходных текстов, изучен жизненный цикл уязвимостей и ошибок и ряд связанных вопросов. Итог неутешителен — наличие исходных кодов не делает его безопаснее, даже при наличии большого числа желающих этот код анализировать. Давно известный принцип secuirty through obscurity в данном случае является верным. Но при этом авторы говорят, что делать окончательные выводы еще рано и важно учитывать не только один единственный факт наличия/отсутствия исходников, но смотреть на проблему шире, учитывая и другие аспекты. Например, распространенность ПО. Пример MS Windows показывает, что отсутствие исходников не дает нам права утверждать о большей защищенности этого семейства операционных систем. Но и пример Linux не позволяет утверждать обратное.

Резюме исследования: Неизвестность (отсутствие исходников) может являться вполне надежным сдерживающим фактором для злоумышленников. Но наличие исходников позволяет получить иные преимущества. Например, возможность исследований исходников, обеспечение права на доступ к информации и т.д. Правда, к безопасности они не имеют никакого отношения.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    если под безопасностью понимать только защиту от уязвимостей — то действительно opensource тут ничего не выигрывает.

    С другой стороны, сколько уже закрытых криптодвижков было взломано через некорректно реализованные алгоритмы шифрования или бекдоры? и были ли такие факты про openssl или gnupg?

    Ответить
  2. Анонимный

    Это исследование не смотрел, но большинство таких "накатов" на Open Source строятся на сравнении количества уязвимостей в Windows и в каком-нибудь дистрибутиве Linux. Только все при этом забывают, что Windows — это голая операционная система, а Linux — это ОС с кучей софта, включая 2-3 HTTP, 3-4 FTP, 3 SMTP, 1-2 POP3 серверов плюс куча офисного и GUI софта (OpenOffice, 5-7 проигрывателей мультимедиа, 3-5 различных графических и фото редакторов, и.т.д.).

    Ответить
  3. Алексей Лукацкий

    В данном исследовании вообще про Windows ни слова. Анализируется сам подход с точки зрения математики

    Ответить
  4. Baevsky

    Это исследование только подтверждает бессмысленность постановки вопроса: "Что безопаснее — открытое по или закрытое?"

    Ответить