web-dev-qa-db-ja.com

オープンソースソフトウェアを使用することはどれほど安全ですか

オープンソースソフトウェアの開発者が、引っ掛かることなくバックドアを隠すことは可能ですか?

透明性に関しては、明らかにオープンソースはクローズソースよりも優れています。また、オープンソースは必ずしもゼロデイフリーを意味するわけではないという事実を認識しています(そのようなソフトウェアがある場合)が、これまでに発見したことがありますオープンソースソフトウェアのバックドア?

1
Ulkoma

オープンソースのバックドア 発見されたソフトウェア、はい。

一般的に言えば、オープンソースはソフトウェアが安全であるかバグがないことを自動的に意味しませんnot。 OpenSSLでは Heartbleed を覚えておいてください。

主な問題の1つは、誰もがソースを調べることができたが、他の誰かが以前に確実にそれを行ったと実際に考えている人がいないことです。そのため、一部のプロジェクトには非常に長い間バグやバックドアが隠されている可能性があります。

別の問題は、いくつかのプロジェクトの複雑さかもしれません。一人でソースを見て、それが安全かどうかを知ることは不可能です。これを達成するには、たとえばTrueCryptのセキュリティ監査を見るだけで長い時間が必要になります。 。

この文脈でのオープンソースの主な問題は、誰もがコードを変更して自分のプログラムを共有できることです。これには多くの場合があります 操作されたバージョン Firefox、PhpMyAdminなどのような大きなオープンソースプログラムの場合。通常のPCユーザーは気付かないでしょう何かがおかしいのですが、彼は大きなバックドアを喜んで使っています。

したがって、理論的には誰もがコードをチェックできるため、オープンソースの方が少し安全かもしれませんが、実際にはバグやバックドアが長い間発見されていない可能性があります。誤解しないでください。私はオープンソースソフトウェアの大ファンですが、リスクを認識しているので、他の誰かもそうすべきです。

7
Tokk

はい、可能です。オープンソースソフトウェアは、コードをレビューおよび監査するための手順と同じくらい安全です。

ソフトウェアパッケージはオープンソースであるため、誰かが実際にコードをレビューするのに苦労したとは限りません。オープンソースソフトウェアの場合、コードを同僚や他の機関がレビューする機会を与えるだけですが、実際にコードが実行される保証はありません。 TrueCrypt および OpenSSLHeartbleed )は、コードの監査/レビューが、コードを取り巻くいくつかの論争またはエクスプロイトが爆発した後にのみ委託された代表的な例です。

問題は、オープンソースコミュニティの非公式な性質により、オープンソースパッケージに「これはピアレビューされました」というバッジや認証がないことです。通常、プロジェクトが綿密に精査された最初の兆候は、脆弱性またはバックドアに関するレポートです。パラノイアのレベルによっては、オープンソースソフトウェアを暗黙的に信頼するのではなく、調査を行った後で信頼のレベルを決定するのが理にかなっています。

別の問題は、「他の誰かがそれをしたと思うのに、なぜ私がすべきなのか」ということかもしれません。問題。正式なレビューがなく、他の誰かがそれをしたと誰もが思っている場合、誰もそれをやることにはなりません。これは、オープンソースソフトウェアが「他の賢い人々」が確かにそれを見たという誤った仮定に基づいて多くの人から信頼されていることを意味します。

上記の理由は、とりわけ、 Linux Foundation Core Infrastructure Initiative の作成につながるものです。

1
ilikebeets

まず第一に、オープンソースソフトウェアを裏返しに表示してバックドアをチェックできるため、「捕まらない」という側面が即座に崩壊します。 @schroederが言ったように、バグやエラーは不安を引き起こす可能性がありますが、それは意図的なものではなく、したがって正確には裏口ではありません。

0
Slava Knyazev