Linuxはユーザーをスパイしていますか？

ビジネスモデルの異なるLinuxディストリビューションはたくさんあります。それらのほとんどはおそらく積極的にユーザーをスパイしていないが、一部は故意にそれをしている：

北朝鮮のRed Star Linuxが卑劣なシリアルコンテンツトラッカーを挿入

ERNWのセキュリティアナリストであるFlorian Grunowは、北朝鮮のRed Star Linuxオペレーティングシステムがコンテンツに一意の非表示タグを付けてユーザーを追跡していると述べています。

あなたの質問に答えるために、Linuxや他のオープンソースプロジェクトと並列にするために、他のオープンソース製品（OpenSSL）について言及する必要があります;それで、私はあなたにそれについての短い物語を紹介させてください、そしてうまくいけばあなたは論理を理解します：

HeartBleed は 脆弱性 です Stephen Hensonによって最初に導入されました2011年の大晦日。より正確に言うと、それは Robin Seggelmann であり、当時Ph.Dでした。 OpenSSL（ HeartBeat はすでに SSL2. 仕様に含まれていました）のHeartBeat拡張機能を開発し、それを OpenSSL に提案したデュースブルクエッセン大学の学生=バグを見つけられず、リポジトリにコミットした開発者プロジェクトの主導者、Stephen Henson。他の人は、この脆弱性が既知であり、公に発表されるずっと前に悪用されたと示唆しています。

しかし、なぜ私はこれについて言及するのですか？オープンソースソフトウェアを使用すると、少なくともこのセキュリティ分野で作業している場合、何か問題がある場合は特に、いつでも自分で確認できます。 HeartBleedのバグは常に確認されています 公的に 2014年4月7日 Google Security researcher その前に理論的に言えば、興味のある人なら誰でもそれを検出できます。しかし、実際には誰もしませんでした（またはそれを開示していないことを発見した人であり、彼らの個人的な目標のためにそれを利用することを好んだ）.

この短編はすべてのオープンソースソフトウェアに適用されます。理論的には、自分で、またはチームですべてをチェックする可能性があり、それを妨げるものは何もありません。これはすでに大きな利点であり、慈善団体によって多くのセキュリティの脆弱性が防止されています。しかし実際には、何人の人（私はセキュリティの分野で働いている人たちについて話している）がそれを行うのに時間と必要なスキルを持っているのか？そして、誰かがオープンソースプロジェクトのセキュリティの脆弱性を発見した場合、彼/彼女はそれを開示する意志があるのでしょうか、それとも単にそれを利用するのでしょうか？ただし、HeartBleedについて重要な点が1つあります。恒久的な開発者であるのはStephenのみであり、OpenSSLプロジェクトの他の11人のメンバーはコンピュータサイエンスとは何の関係もありません。あなたが言及したUbuntuのような他の大きなオープンソースプロジェクトなので、理論的にはこのようなリスクの性質はこの場合は少ないかもしれません。