web-dev-qa-db-ja.com

「オープンソース」と「ソース利用可能」のセキュリティ上の意味は何ですか?

現在の大失敗 を取り巻く TrueCrypt に照らして、オープンソースモデルの継続的なサポートについて、IT業界の現在のクライアントや同業者からかなりの批判を受けました。このような批判は、通常、オープンソースモデルの長所と失敗に関する対話が heartbleed などのエピソードに続いて進行しているときにひとまとめにされます。 TrueCryptをオープンソースとしてラベル付けしている多くのニュース記事にもかかわらず、 Wikipedia にある source-available ラベルの方が正しいことを指摘しようとしました。

その区別と関連して、私はソースコードをレビューに利用できるようにすることは本来よりも安全であることを主張しましたが、それはオープンソース開発モデルに従うプロジェクトと同じレベルの信頼を示唆すべきではなく、修正された作業。私の直感はこれは取るに足る立場であると私に言っていますが、違いは微妙であり、説得力をもってそれを伝える私の能力は限られています。

ここで私の直腸だけでなく、より具体的な評価を行う必要はありますか?ソースが利用可能なアプリケーションと真のオープンソースのアプリケーションの相対的なセキュリティに測定可能な違いはありますか?もしそうなら、どの要因がこれに正確に貢献しているかは十分に確立されていますか? OS開発モデルについては特に、レビューのためにコードをリリースするだけの場合よりも、より安全なコードになりますか?それとも、結局は意見に要約されますか?

編集:問題の特定のソフトウェアが暗号化に関連しているかどうかに違いはありますか?

14
Caleb

ソース利用可能(SA)は、フォークする権利がないという真のオープンソース(OS)とは異なります。つまり、SAソフトウェアのセキュリティ欠陥が判明し、開発者が修正を拒否した場合(これは悪い意図から脱出する必要はありません。リソースが不足しているだけかもしれません)。ユーザーには、プロジェクトをフォークして、新しいチームで新しい名前でプロジェクトを続行するオプションはありません。

ただし、SAプロジェクトの欠陥が発見されて公開された場合、修正を継続的に拒否すると、SAプロジェクトの評判が悪くなり、ユーザーを追い払うことになります。それから。

一部のOS支持者は、OSプロジェクトのパッチを提供できる全員の能力により、バグ修正がより速くなると主張しています。ただし、これはOSプロジェクトの一部にのみ適用されます: Bazaar開発モデルに従い、Cathedralモデルではない 。サードパーティからの一方的な寄付を受け入れないOSプロジェクトはたくさんあります。バグ修正は個別に提供できるため、ユーザーが手動で適用することもできますが、これは多くの管理者やユーザーが避けているメンテナンスのオーバーヘッドです。

そして、単一の問題のためにプロジェクトをフォークすることは、通常、その価値よりも厄介です。私は、フォークの両側の一部として、オープンソースプロジェクトのフォークをいくつか目にしました。その結果、開発リソースが希薄になり、インフラストラクチャと管理構造を複製する必要があり、ユーザーが混乱するため、常に両方のフォークの全体的な進捗が損なわれました。紛争があってもプロジェクトをまとめようとすることは、通常は報われます。

7
Philipp

オープンソースと利用可能なソースは、一般的なカテゴリとして、セキュリティへの影響が同じです。主な利点は、バグ/非効率性/脆弱性のより迅速な発見です。多くの手が軽い働きをします。実際には、このメリットの価値は、プロジェクトに関心のあるコミュニティの規模、したがってソースコードを見ている人の数によって異なります。

与えられた例について:TrueCryptからのメッセージは、サポートが中止されたことを単に示しています。控えめに言っても、事前に通知することは素晴らしいことでしたが、そのようなアクションはオープンソース(または利用可能なソース)エンティティに限定されていません。民間企業は常に製品を製造中止しています。彼らがそれをあまり頻繁に行わない場合、例えば人々は継続的なサポートを提供するために彼らにお金を払っているので、廃止予定の製品の継続的なサポートのためにオープンソースのコミッターを雇うか、そうでなければ支払うことは常に利用可能な選択肢であることを認識する必要があります。

継続的なサポートを利用できるかどうかは、特定のタスクやオープンソースなどに対する特定の製品の適合性に関する重要な検討事項であり、今後もそうであるはずです。

2
unrgnl