Debe una encuesta del marco cerrado de origen

Question

Yo estaba teniendo una charla con un compañero de trabajo que está trabajando en un centro de votación de la aplicación y el marco.Le estaba pidiendo a preguntas técnicas, y me sugirió que él open source de la aplicación para obtener más calidad de las opiniones de los desarrolladores que están interesados en este problema y están dispuestos a darle pesada aunque.

Él tiene un punto de vista diferente, que creo que sigue siendo válido lo quiero abrir este tema de discusión aquí.Él dice que él cree que algo así como un sondeo de marco no ser de código abierto, ya que reducirá su seguridad y la validez como la gente revelar las lagunas a través de la cual se puede hacer trampa.No puedo decir que estoy totalmente en desacuerdo.Veo un poco válido, no, pero yo siempre he creído que las soluciones por un grupo de personas casi siempre son mejor que una solución pensada por una sola persona pidiendo un pequeño número de compañeros de trabajo, no importa lo inteligente que es.De nuevo estoy dispuesto a aceptar que tal vez algunos tipos de aplicaciones son diferentes.

¿Alguien tiene un argumento en su favor?Realmente me gustaría presentar sus respuestas a él.

Answer 1

Estamos hablando de encuestas en los sitios web, estoy asumiendo?El "cual es tu idioma favorito, C#, Java o COBOL?" tipo de encuestas?Si es así, que es interesante.

Normalmente yo estaría de acuerdo con Simon la respuesta de que si la apertura de la fuente revela lagunas, nunca fue seguro, para empezar.

Sin embargo, para este tipo de aplicaciones..lo más probable es que no, es no era seguro, para empezar, y no puede ser fácilmente hecho así.El problema es, estoy segura de que usted tiene un requisito para que la gente sea capaz de entrar a la web y votar en la encuesta, no es necesario registrarse.Y usted también tienen incompatible requisito de que las personas sólo podrán votar una vez.

Hagas lo que hagas..hay una laguna.La comprobación de direcciones IP?El visitante que quiera engañar sabe usar un proxy.Las Cookies?El visitante que quiera engañar sabe para borrar sus cookies.La apertura de la fuente hace que sea trivial para ver cómo engañar.

Pero habiendo dicho eso..es trivial de todos modos.No toma mucho tiempo para probar las alternativas y ver cuál es el que permite que varios votos.Simplemente no es posible hacer este tipo de encuesta es anónima seguro, lo que podría abrir la fuente y, al menos, conseguir los globos oculares manchado errores!

Answer 2

De hecho, al ser de código abierto ayuda a estar más seguro.

Yo personalmente creo que cuando un programa se inició como fuente cerrada y es el primero luego hizo de código abierto, a menudo comienza menos seguro para los usuarios (a través de la exposición de vulnerabilidades), y a lo largo del tiempo (digamos un par de años) tiene el potencial de ser mucho más seguro que un cerrado el programa.Si el programa se inició como software de código abierto, el escrutinio público es más probable que la mejora de su seguridad antes de que esté listo para su uso por un número significativo de usuarios, pero hay varias advertencias a esta declaración (no es una regla de oro).Acaba de hacer un programa de código abierto no de repente hacer un programa de seguro, y sólo porque el programa es de código abierto no se garantiza la seguridad:

• Primero, la gente tiene que revisar el código.Este es uno de los puntos clave de debate - la gente de revisión de código en un proyecto de código abierto?Todo tipo de factores que pueden reducir la cantidad de la revisión:siendo un nicho o muy rara producto (donde hay pocos de los revisores), además de tener pocos desarrolladores, y el uso de una muy rara lenguaje de computadora.Claramente, un programa que tiene un único desarrollador y no otros colaboradores de cualquier tipo que no tiene este tipo de revisión.Por otro lado, un programa que tiene un autor principal y muchas otras personas que de vez en cuando examine el código y contribuir sugiere que hay otros que revisar el código (al menos para crear contribuciones).En general, si hay más revisores, hay generalmente una mayor probabilidad de que alguien va a identificar un defecto - esta es la base de los "muchos ojos" de la teoría.Tenga en cuenta que, por ejemplo, el proyecto OpenBSD continuamente examina los programas de fallas de seguridad, por lo que los componentes en su parte más íntima, sin duda, han sido objeto de una larga revisión.Desde OSS/FS debates se celebran a menudo en público, este nivel de revisión es algo que los usuarios potenciales puedan juzgar por sí mismos.
   
  Uno de los factores que pueden particularmente reducir revisión de la probabilidad no es realmente de ser de código abierto.Algunos vendedores como a la postura de su "revelada de origen" (también llamado "fuente") de los programas como open source, pero ya que el programa tiene el dueño de la extensa derechos exclusivos, otros tendrán menos incentivos para trabajar "gratis" para el propietario en el código.Incluso las licencias de código abierto que han inusualmente asimétrica de los derechos (tales como el MPL) tienen este problema.Después de todo, las personas son menos propensas a participar voluntariamente si alguien más tendrá derechos a sus resultados que no tienen (como Bruce Perens dice, "¿quién quiere ser alguien no remunerado empleado?").En particular, desde los revisores con la mayoría de los incentivos tienden a ser personas que están tratando de modificar el programa, este desincentivo para participar reduce el número de "globos oculares".Elias Levy cometido este error en su artículo sobre la seguridad de código abierto;sus ejemplos de software que se había roto en (por ejemplo, TIS del Guantelete) no eran, en el momento en que, de código abierto.

• Segundo, al menos algunas de las personas de elaborar y revisar el código debe saber cómo escribir programas de seguro.Esperemos que la existencia de este libro va a ayudar.Claramente, no importa si hay "muchos ojos" si ninguno de los globos oculares saber qué buscar.Tenga en cuenta que no es necesario que todos sepan cómo escribir programas de seguro, siempre y cuando aquellos que saben cómo están examinando los cambios en el código.

• Tercero, una vez que se encuentran, estos problemas deben ser corregidos rápidamente y sus correcciones distribuido.Sistemas de código abierto tienden a solucionar los problemas rápidamente, pero la distribución no es siempre fácil.Por ejemplo, los desarrolladores de OpenBSD hacen un excelente trabajo de revisión de código de fallas de seguridad, pero no siempre informan a los problemas identificados de regreso a el desarrollador original.Por lo tanto, es muy posible que haya una versión fija en un solo sistema, pero para la falla a permanecer en otro.Creo que este problema se está disminuyendo a lo largo del tiempo, ya que no hay una "corriente abajo" le gusta repetidamente solucionar el mismo problema.Por supuesto, garantizar que los parches de seguridad que realmente están instalados en los sistemas de usuario final es un problema tanto de código abierto y de software de código cerrado.

Otra de las ventajas del código abierto es que, si usted encuentra un problema, se puede solucionar de inmediato.Esto realmente no tiene ningún equivalente en código cerrado.

En resumen, el efecto sobre la seguridad del software de código abierto es todavía un gran debate en la comunidad de seguridad, a pesar de que un gran número de destacados expertos creen que tiene un gran potencial para ser más seguro.

Buscar en Linux...

Answer 3

El argumento de que la fuente abierta "reducirá su seguridad y la validez como la gente revelar las lagunas" es completamente inválida.Un producto seguro no debe tener lagunas por lo que cuando se hizo de código abierto no debe haber vacíos legales para revelar.

Si su producto tiene lagunas que sería revelado, por lo que es de código abierto que no es de la seguridad, que acaba de ocultar su falta de seguridad detrás de su compilador.Usted puede salirse con la suya por un tiempo, pero eventualmente alguien se va a aplicar ingeniería inversa a su código y encontrar una de estas lagunas (que puede que ni siquiera han conocido)

Yo confiaría en una fuente abierta de productos de seguridad mucho más de lo que yo podría confiar en una fuente cerrado uno.

El experto en seguridad Bruce Schneier lo resume muy bien:

Si me tome una carta, de bloqueo en una caja fuerte, ocultar la caja en algún lugar de Nueva York, entonces dígale usted a leer la carta, que no es de seguridad.Que la oscuridad.Por otro lado, si me tomo una carta y de bloqueo en una caja fuerte, y, a continuación, dar la caja fuerte junto con el diseño especificaciones de la caja fuerte y una cientos de idéntica caja fuerte con sus combinaciones para que usted y el de los mejores del mundo safecrackers puede estudiar el mecanismo de bloqueo -y todavía no se puede abrir la caja fuerte y leer el carta - que es la seguridad.

Bruce Schneier - Criptografía Aplicada

Answer 4

Tienen una lectura a través de Se Abrirá El Abastecimiento De Desbordamiento De Pila Destruir Nuestro Modelo De Negocio? - mientras que el Desbordamiento de la Pila no es el mismo que el de su encuesta marco debería de darle más información sobre muchas de las opiniones de otras personas.

Par de pensamientos que se me ocurrió que yo no sé la respuesta a mí mismo...

1. Sólo porque alguien se somete código para el proyecto, podría no ser lo suficientemente bueno/aceptado/usa.De código abierto no significa automáticamente que el código sea mejor.
2. Del mismo modo, no sé cuál es el promedio es para los desarrolladores de ayudar con el código.Puede que no haya hordas de desarrolladores que contribuyen a la fuente?(aunque usted solo necesita 1 o 2 para hacer una diferencia sustancial).
3. Supongo que también hay nada que te detenga de fuente abierta el marco, sino que ejecuta una versión personalizada para su negocio, que tiene otras características de seguridad integradas.
4. ¿Puede la empresa permanecer en el anonimato/no anuncian que está detrás del marco?Y donde el marco se instala/live - disfraz que se trata de un marco particular?(Considere la posibilidad de wordpress y cómo una de las recomendaciones de seguridad es para ocultar la meta etiqueta que dice "versión de Wordpress 2.3").
5. Usted también debe hablar con su jefe/departamento legal debido a que su contrato de empleo, puede decir algo en el sentido de que la propiedad intelectual de cualquier cosa que cree en el trabajo es propiedad de su empleador, y de fuente abierta código que se originó en la empresa podría tierra que en agua caliente.