Mengapa perangkat lunak sumber terbuka lebih aman?

Mengapa perangkat lunak sumber terbuka lebih aman?

Perangkat lunak open source telah lama memiliki reputasi lebih aman daripada software sumber tertutupnya. Tapi apa yang membuat perangkat lunak sumber terbuka lebih aman? Seorang redditor baru-baru ini mengajukan pertanyaan itu dan mendapatkan beberapa jawaban menarik.

Parasymphatetic mengajukan pertanyaannya di subreddit Linux:

Jadi ada argumen umum bahwa Linux dan perangkat lunak open source lebih aman daripada rekan windows mereka. Sekarang, sebagai open source dan pemula Linux total, saya memiliki pertanyaan berikut: Bagaimana bisa?

Bagaimana Anda tahu bahwa program terkompilasi yang Anda unduh persis seperti kode sumber yang mereka sediakan? Dan apakah ada yang benar-benar memeriksa sepuluh ribu baris kode yang diberikan oleh seseorang? Apakah kamu?

Dan bukankah Anda menaruh kepercayaan yang sama kepada orang-orang Valve dan Blender seperti para pengguna Windows yang mempercayai Microsoft?

Selengkapnya di Reddit

Rekan redditor Linuxnya menanggapi dengan pemikiran mereka tentang mengapa perangkat lunak open source lebih aman:

Bushwacker: ”Semuanya tersedia untuk diperiksa. Anda dapat membuat kode sendiri, termasuk kernel. Sekarang tentang pintu belakang di kompiler, itu cerita lain. ”

AiwendilH: ”Bukan berarti perangkat lunak sumber terbuka harus direkayasa dengan lebih baik ... tetapi tanpa kode sumber, tidak mungkin untuk melihat apa yang dilakukan suatu program. Jadi perangkat lunak sumber terbuka dipandang lebih aman karena ini adalah satu-satunya jenis perangkat lunak yang dapat diperiksa keamanannya sama sekali tanpa perlu mempercayai seseorang secara membabi buta ... semua yang bukan sumber terbuka tidak dapat diperiksa dan karenanya harus dilihat. sebagai tidak aman. "

Daemonpenguin: ”Sumber terbuka tidak secara otomatis lebih aman daripada sumber tertutup. Perbedaannya adalah dengan kode sumber terbuka Anda dapat memverifikasi sendiri (atau membayar seseorang untuk memverifikasi untuk Anda) apakah kode tersebut aman. Dengan program sumber tertutup, Anda harus percaya bahwa sepotong kode berfungsi dengan baik, sumber terbuka memungkinkan kode untuk diuji dan diverifikasi agar berfungsi dengan baik.

Sumber terbuka juga memungkinkan siapa saja untuk memperbaiki kode yang rusak, sedangkan sumber tertutup hanya dapat diperbaiki oleh vendor.

Seiring waktu, ini berarti proyek open source (seperti kernel Linux) cenderung menjadi lebih aman. Semakin banyak orang yang menguji dan memperbaiki kode.

Siapa pun yang membuat pernyataan umum seperti "Perangkat lunak sumber terbuka lebih aman", itu salah. Yang harus mereka katakan adalah, "Perangkat lunak sumber terbuka dapat diaudit dan diperbaiki ketika perilaku atau keamanannya diragukan."

Apakah ada yang memeriksa kodenya? Banyak orang melakukannya, terutama pada proyek yang lebih besar seperti Linux, C library, Firefox, dll. Apakah saya? Biasanya tidak, tetapi saya telah melakukan beberapa audit pada kode yang saya jalankan untuk memastikannya berfungsi dengan baik.

Saya biasanya tidak mempercayai Microsoft atau Valve atau perangkat lunak sumber tertutup lainnya. Dan saya biasanya hanya mempercayai proyek sumber terbuka yang proaktif dalam hal keamanan. ”

Toemme: "Saat ini Debian sedang mencoba untuk membuat paket mereka dibangun secara reproduktif [1], jadi Anda dapat memeriksa apakah biner yang Anda dapatkan benar-benar dibuat dari kode sumber yang mereka tunjukkan."

Eingaica: ”Sebagian besar (jika tidak semua) perangkat lunak kompilasi distribusi biner dan tidak menggunakan biner yang telah dikompilasi sebelumnya yang disediakan oleh pengembang. Setidaknya itulah yang terjadi pada perangkat lunak gratis / sumber terbuka. Apakah Anda dapat mempercayai bahwa binari yang Anda peroleh dari distro Anda identik dengan apa yang Anda dapatkan dengan mengkompilasi sendiri adalah masalah yang berbeda (lihat misalnya proyek build yang dapat direproduksi Debian). ”

OMGTokin: ”... benar bahwa Anda menginstal binari dan menaruh banyak kepercayaan di upstream. Segera setelah orang lain menyebutkan akan ada build yang dapat direproduksi, tetapi untungnya bagi Anda sebagian besar perangkat lunak yang Anda instal memiliki repositori git yang memungkinkan Anda menarik kode sumber untuk menyesuaikan dan mengkompilasi sendiri. ”

Sendme: ”Tingkat paranoia yang Anda bicarakan cukup jauh di luar sana. Masalah dengan perangkat lunak sumber tertutup sejauh menyangkut keamanan adalah bahwa hanya sedikit orang yang dapat melihat kode sumber dan mencoba memperbaikinya. FOSS memiliki lebih banyak pengembang yang melihat kodenya sehingga mudah-mudahan menghasilkan lebih banyak perbaikan bug. ”

Tymanthius: ”Inilah masalahnya, kecuali jika Anda akan membuat cadangan BEBERAPA lapisan untuk membuat kompiler, Anda harus mulai mempercayai suatu tempat. Juga, ada fakta yang jelas & sederhana bahwa kebanyakan dari kita tidak begitu penting / menarik untuk dimata-matai. ”

Justcs: "Lisensi tidak menentukan kualitas kode".

Whotookmynick: ”... Anda tidak dapat mempercayai kode dalam jumlah besar untuk yang lain, Anda dapat menggunakan alat seperti wireshark, strace, dll.

Apple dan MS (dan valve) adalah perusahaan yang berbasis di AS, jadi jika pemerintah mereka menyuruh mereka melakukan sesuatu, mereka harus mematuhinya. Hal lainnya adalah pemerintah Jerman yang sebenarnya membuat trojan secara legal.

Adapun keamanan pribadi di luar itu, router Anda menyaring sebagian besar ancaman kecuali komputer Anda membuka port itu sendiri, Anda seharusnya baik-baik saja di bawah linux / bsd X dapat membukanya, sshd membuka satu, vnc, skype / irc / apa pun kecuali yang mereka miliki agar kerentanan dapat dieksploitasi melalui sambungan "

Selengkapnya di Reddit