Hur säker är programvara med öppen källkod?

När människor gör programvaruval är säkerhet ofta högst upp på sina prioriterade listor. Och om det inte är det borde det vara! Men de undrar vanligtvis om skillnaderna mellan programvara med sluten och öppen källkod.

Så vad är skillnaden mellan öppen och sluten källa? Är programvara med öppen källkod verkligen säker?

Öppen källkod vs. Programvara med sluten källa

Människor gör programvara med öppen källkod fritt tillgänglig för alla. Allmänheten kan använda, kopiera, ändra och distribuera den. Plus, som namnet antyder, kan vem som helst se källkoden.

Programvara med sluten källa har tätt skyddad kod som endast auktoriserade personer kan se eller ändra. Kostnaden täcker människors rätt att använda den, men bara inom gränserna för licensavtalet för slutanvändaren.

Öppen källkods synlighet har säkerhetsfördelar och nackdelar

Vem som helst att se källkoden ger stora fördelar för öppen källkodssäkerhet. Utveckling blir ett samhällsarbete som deltar i av människor från hela världen.

Det betyder att fel ofta upptäcks och fixas snabbare än om bara en mycket mindre grupp individer undersökte koden.

Men hackare dra nytta av tillgängligheten av öppen källkod också. De kan använda den för att planera attacker eller notera sårbarheter.

Utvecklare med ett genuint intresse för att förbättra programvara med öppen källkod tar upp de problem de hittar eller rapporterar åtminstone problemen till någon med färdigheterna att hantera dem. Alla med skadliga avsikter hoppas att saker går obemärkt förbi så länge som möjligt.

Dessa verkligheter gör att cybersäkerhetspersonal varnar för att programvara med öppen källkod kan riskera organisationer. En fråga är att brottslingar kan se koden och injicera farligt innehåll i den. Alternativt kan dessa parter rikta sig till företag som inte har strikta metoder för nedladdning av programkorrigeringar med tillräcklig frekvens.

Eftersom programvara med öppen källkod inte har någon central myndighet som hanterar den är det svårt för någon att veta vilka versioner som används oftast. Titlar kan uppdateras så ofta att en organisations IT-team inte inser att de har en gammal version med allvarliga säkerhetsproblem.

Programvarubibliotek från tredje part utgör säkerhetsrisker med öppen källkod

Utvecklare använder ofta programvarubibliotek från tredje part för att spara tid. De är återanvändbara komponenter som utvecklats av en annan enhet än den ursprungliga leverantören. En fördel är att de tillåter användning av förprovad kod.

Populära bibliotek testas i många miljöer för ett brett spektrum av användningsfall. Den naturliga användningsfrekvensen innebär att buggar rapporteras ofta. Det betyder dock inte nödvändigtvis att programvarubibliotek från tredje part har överlägsen säkerhet, även när man diskuterar de som är associerade med programvara med öppen källkod.

En studie fann att i nästan 80 procent av fallen uppdateras tredjepartsbibliotek för programvara med öppen källkod inte efter att utvecklare har lagt till dem i kodbaserna. Forskarna som var inblandade i studien varnade för hur bristen på uppdateringar skulle kunna påverka effekterna.

Några av de nyaste och mest använda programvarutitlarna är beroende av programvarubibliotek från tredje part under utvecklingen. En brist kan påverka alla produkter som är associerade med ett problematiskt bibliotek. Ett annat oroande resultat är att mer än en fjärdedel av de tillfrågade utvecklarna var omedvetna eller osäkra på någon formell process som användes för att välja tredjepartsbibliotek.

Relaterad: Vad är en Zero Day exploatering och hur fungerar attacker?

En positiv slutsats från studien var dock att programuppdateringar löser 92 procent av bristerna i programvarubibliotek från tredje part. Dessutom kräver 69 procent av uppdateringarna endast en mindre versionändring eller något ännu mindre omfattande.

Ännu mer lovande var att utvecklare kunde åtgärda 17 procent av dessa brister på en timme. Det betyder att det inte alltid är extremt tidskrävande eller komplicerat att ta itu med dessa problem med öppen källkodsbibliotek.

Hur felupplösningshastighet påverkar öppen källkodssäkerhet

En av huvudproblem med föråldrad programvara är att användaren riskerar potentiella säkerhetsfel. I en idealisk värld skulle utvecklare märka och fixa alla buggar innan programvaran når allmänheten. Det är dock ett orealistiskt mål.

Det näst bästa alternativet är att släppa programvarukorrigeringar strax efter att sårbarheter blir uppenbara. Säkerhetsforskare varnar ofta leverantörer av programvara med sluten källa om problem som behöver snabba lösningar. De människor som utvecklar dessa produkter följer emellertid utgivningsplaner valda av överordnade.

Beslutsfattare prioriterar inte alltid alla sårbarheter. Vissa förblir oadresserade i månader eller år efter att den första identifieringen inträffat. En relaterad fråga är att många utvecklare kämpar med alltför stora eller obalanserade arbetsbelastningar som kan begränsa deras förmåga att fixa fel snabbt, även med de bästa avsikterna.

Ytterligare en undersökning fann att 38 procent av utvecklarna spenderar en fjärdedel av sin tillgängliga tid på att fixa programfel. Cirka 26 procent av de tillfrågade sa att uppgiften tar hälften av sina arbetsdagar. En annan iögonfallande upptäckt var att 32 procent av utvecklarna spenderar upp till 10 timmar per vecka på att fixa buggar istället för att skriva kod.

Utvecklare vidtar många försiktighetsåtgärder för att undvika att släppa problematisk kod. Till exempel täckning från Blue Sentry diskuterat hur en sandlådedatabas ger en spegelversion av produktionsmiljön och eventuella förändringar av distributionscykeln.

Webbutvecklare kan lära sig och testa saker utan några större negativa konsekvenser som påverkar ett helt team. Men buggar händer fortfarande.

Eftersom programvara med öppen källkod har hela utvecklingsgrupper som arbetar för att förbättra den, är det högt chans att någon med rätt kompetens och schemalagd tillgänglighet kan rikta in sig på ett fel och få det fast. Det kan innebära att kända sårbarheter inte förblir oadresserade så länge de kan ha en programvara med sluten källkod.

Programvaruberoenden finns när ett operativsystem förlitar sig på ett annat för att fungera. När det gäller programvara med öppen källkod gör den snabba förändringstakten det ofta svårt för utvecklare att förstå om något av deras beroenden gäller föråldrade versioner.

Google släppte dock nyligen ett webbaserat visualiseringsverktyg som heter Open Source Insights för att lösa det problemet. Det ger användarna en översikt över de komponenter som är associerade med ett programvarupaket.

Eftersom informationen innehåller information om beroenden och deras egenskaper, får utvecklingspersonal en tydligare uppfattning om föråldrad programvara med öppen källkod kan orsaka problem senare.

Förutom att titta på beroendediagram kan människor använda ett jämförelsesverktyg som visar hur olika paketversioner kan påverka beroenden. Ibland behandlar en nyare ett säkerhetsproblem. Genom att erbjuda detta verktyg syftar Google till att göra det lättare för utvecklare att bli mer medvetna om hur de använder programvara med öppen källkod.

Att ha den nya kunskapen kan förbättra säkerheten och den övergripande användbarheten.

Programvara med öppen källkod: Inte en total säkerhetslösning

Denna översikt visar varför programvara med öppen källkod inte alltid är det säkraste valet jämfört med programvara med sluten källkod. Ändå finns det massor av bra saker med programvara med öppen källkod.

Människor som tänker använda det av personliga skäl eller inom sina organisationer bör väga för- och nackdelar för att nå ett beslut.

De 6 bästa apparna med öppen källkod för Windows

Letar du efter gratis open source-appar för Windows? Här är några av de bästa programvarorna du kan installera.

Läs Nästa

Om författaren