« Назад

Как повысить безопасность Open Source-компонентов?

Популярность свободного программного обеспечения постоянно растет. Поэтому задача повышения безопасности ПО с открытым кодом остается едва ли не самой актуальной, когда речь заходит о распространении Open Source во всех экосистемах. Есть ли решение у этой задачи ?

Антон Иванов, основатель и генеральный директор компании Citeck, принял участие в круглом столе, организованном журналом «Системный администратор», и поделился своим мнением о безопасности Open Source-компонентов:

«Не раз доводилось читать и слышать о том, что основная проблема безопасности ПО с открытым кодом – это именно открытость кода. Вроде бы это дает возможность хакерам изучать код и его уязвимости, а потом внедрять вредоносные программы. Выглядит логично, но в реальности дело обстоит ровно наоборот. Чем большее количество человек видит код, работает с ним, тем больше шансов, что найдут и ошибки, и намеренные закладки. Ведь с кодом работают люди разной квалификации, обладающие разнообразным опытом, и компании, выпускающие частное ПО с закрытым кодом, никогда не смогут привлечь такое же количество специалистов к работе. А свежий взгляд порой очень важен. Так что на стороне Open Source работает и популярность тоже.

Миф о том, что хакеры используют доступность кода Open Source-продуктов, развенчивают и разнообразные исследования безопасности ПО. ПО с закрытым кодом не только не выигрывает в рейтингах по безопасности с огромным отрывом, но часто даже уступает Open Source ПО.

Да, конечно, как и в любом ПО, в программах с открытом кодом тоже есть уязвимости, мир не стоит на месте, но, по последним данным Githab, после выявления разработчики закрывают их в среднем в течение месяца, а пользователи вносят изменения в продукт за неделю. Впечатляющая скорость. Корпорации часто работают медленнее, исправляя бреши в продукте.

Есть сообщества, например, тот же Apache Software Foundation, где жестко следят за безопасностью ПО и постоянно проверяют его на уязвимости, поэтому, используя код, сделанный под крылом подобных сообществ, вы существенно снижаете риски.

Но главное, что должна иметь любая компания, работающая с Open Source ПО, – экспертизу. Внутренняя предпочтительнее, но можно и привлекать специалистов со стороны. Наличие экспертизы – это один из способов снизить риски работы с кодом. При наличии экспертизы можно воспользоваться главным преимуществом Open Source – кодом: бери и изучай его, оценивай сам перед использованием.

Когда у тебя закрытый код, ни о какой безопасности глобально ты говорить не можешь: ты полностью полагаешься на компетентность разработчика, скорость его реакции на обнаружение проблемы, его оценку степени риска, т.е. на выход обновления повлиять невозможно. С открытым кодом ты можешь всё проверить сам и принимать решение самостоятельно, взвешенно, обладая всеми данными, но нужны ресурсы и время.

Еще одним инструментом решения проблемы безопасности открытого ПО, помимо экспертизы, являются программы проверки и анализа кода, которые ищут распространенные ошибки в коде, а иногда и выявленные уязвимости. И, конечно, открытый код дает возможность его самостоятельной доработки в том месте, которое внушает опасение. А это дает уверенность в решении проблемы и качестве продукта».

Полностью ознакомиться с текстом статьи можно здесь.