Se un sondaggio be quadro chiuso di provenienza

Question

I stava avendo una chiacchierata con un collega che sta lavorando su un'applicazione polling e quadro. Stava chiedendo domande tecniche e mi ha suggerito di open source l'applicazione per ottenere altre opinioni di qualità da parte degli sviluppatori che sono interessati a questo problema e sono disposti a dare, però pesante.

Non ha un punto di vista che credo sia ancora valido così voglio aprire questa domanda per la discussione qui diverso. Lui dice di credere che qualcosa di simile a un quadro di polling dovrebbe non essere open source perché ridurrà la sua sicurezza e la validità come persone rivelano scappatoie attraverso il quale si può barare. Non posso dire sono in completo disaccordo. Vedo un punto un po 'valida lì, ma ho sempre creduto che le soluzioni da parte di un gruppo di persone che sono quasi sempre meglio di una soluzione pensata da una sola persona che chiede un piccolo numero di colleghi, non importa quanto intelligente che persona è. Anche in questo caso sono disposto ad accettare che forse alcuni tipi di applicazioni sono diverse.

Qualcuno ha un argomento a suo favore? Mi piacerebbe davvero per presentare le vostre risposte a lui.

Answer 1

Si sta parlando di sondaggi su siti web, sto assumendo? Il "che è la vostra lingua preferita, C #, Java o COBOL?" digitare i sondaggi? Se è così, questo è interessante.

Normalmente mi sarebbe d'accordo con la risposta di Simon che se l'apertura dell'origine rivela scappatoie, non è mai stato sicuro per cominciare.

Tuttavia , per questo tipo di applicazione .. è probabile che no, non era sicuri per cominciare, e non può facilmente essere fatta così. Il problema è, scommetto che avete un requisito per le persone siano in grado di venire solo per il sito e votare il sondaggio, nessuna registrazione richiesta. E si anche avere il requisito incompatibile che la gente dovrebbe solo essere in grado di votare una volta.

Quindi, tutto quello che fate .. c'è una scappatoia. Verifica degli indirizzi IP? Visitatore che vuole imbrogliare sa utilizzare un proxy. Biscotti? Visitatore che vuole imbrogliare sa per cancellare i suoi cookie. Apertura della fonte rende banale per vedere come barare.

Ma detto questo .. è comunque banale. Non ci vuole molto tempo per provare le alternative e vedere uno che consente a più voti. Non è solo possibile fare questo tipo di sondaggio anonimo sicuro, in modo si potrebbe anche open source e almeno bulbi oculari get avvistare insetti!

Answer 2

In realtà, essendo open source vi aiuta per essere più sicuro .

Personalmente credo che quando un programma è iniziato come closed source ed è quindi in primo luogo fatto open source, si inizia spesso meno sicuro per tutti gli utenti (attraverso l'esposizione delle vulnerabilità), e nel corso del tempo (diciamo un paio di anni), che ha il potenziale di essere molto più sicuro di un programma chiuso. Se il programma è iniziato come software open source, il controllo pubblico è più in grado di migliorare la sua sicurezza prima che sia pronto per l'uso da parte di un numero significativo di utenti, ma ci sono diversi avvertimenti a questa affermazione (che non è una regola ferrea). Basta fare un programma open source non improvvisamente fare un programma sicuro, e solo perché un programma è open source non lo fa a garantire la sicurezza:

• In primo luogo, le persone hanno di rivedere in realtà il codice. Questo è uno dei punti chiave del dibattito - saranno le persone veramente revisione del codice in un progetto open source? Tutti i tipi di fattori possono ridurre la quantità della recensione: essere una nicchia o di un prodotto raramente usato (dove ci sono alcuni potenziali revisori), avendo pochi sviluppatori, e l'uso di un linguaggio di programmazione raramente utilizzato. Chiaramente, un programma che ha un unico committente e non altri collaboratori di qualsiasi tipo non hanno questo tipo di recensione. D'altra parte, un programma che ha un autore primario e molte altre persone che di tanto in tanto esaminare il codice e contribuire suggerisce che ci sono altri che esaminano il codice (almeno per creare contributi). In generale, se ci sono più revisori, c'è in genere una maggiore probabilità che qualcuno si identifica un difetto - questa è la base della teoria "molti bulbi oculari". Si noti che, ad esempio, il progetto OpenBSD esamina continuamente programmi per problemi di sicurezza, in modo che i componenti nelle sue parti più interne hanno certamente subito una recensione lunga. Dal momento che OSS / FS discussioni sono spesso tenute pubblicamente, questo livello di opinione è una cosa che i potenziali utenti possono giudicare da sé.
  
  Un fattore che può ridurre particolarmente recensione probabilità non è effettivamente open source. Alcuni produttori come alla postura loro "fonte divulgato" (chiamato anche "sorgente disponibile") programmi come essendo open source, ma dal momento che il proprietario del programma dispone di ampi diritti esclusivi, altri avranno molto meno incentivo a lavorare "gratis" per i proprietari il codice. Anche le licenze open source che hanno diritti insolitamente asimmetriche (come l'MPL) hanno questo problema. Dopo tutto, le persone sono meno propensi a partecipare volontariamente se qualcun altro avrà i diritti per i loro risultati che non hanno (come Bruce Perens dice: "chi vuole essere qualcun altro dipendente retribuito?"). In particolare, dal momento che i revisori con il maggior incentivo tendono ad essere persone che cercano di modificare il programma, questo disincentivo a partecipare riduce il numero di "occhi". Elias Levy ha fatto questo errore nel suo articolo sulla sicurezza open source; i suoi esempi di software che erano stati suddivisi in (ad esempio, del TIS Gauntlet) non erano, al momento, open source.

• In secondo luogo, almeno alcune delle persone in via di sviluppo e revisione del codice deve sapere come scrivere programmi sicuri. Speriamo che l'esistenza di questo libro vi aiuterà. Chiaramente, non importa se ci sono "molti bulbi oculari", se nessuno dei bulbi oculari sa cosa cercare. Si noti che non è necessario per tutti di sapere come scrivere programmi sicuri, a patto che coloro che sanno come stanno esaminando le modifiche al codice.

• In terzo luogo, una volta trovato, questi problemi devono essere fissati in modo rapido e le loro correzioni distribuito. sistemi open source tendono a risolvere i problemi in modo rapido, ma la distribuzione non è sempre agevole. Ad esempio, gli sviluppatori di OpenBSD fanno un ottimo lavoro di revisione del codice di falle di sicurezza - ma non sempre riportano i problemi individuati indietro per lo sviluppatore originale. Così, è abbastanzapossibile che vi sia una versione fissa in un sistema, ma per la falla rimanga in un altro. Credo che questo problema sta diminuendo nel corso del tempo, dal momento che nessuno "a valle" piace per fissare più volte lo stesso problema. Naturalmente, assicurando che la sicurezza patch sono effettivamente installati sui sistemi degli utenti finali è un problema sia per software open source e closed source.

Un altro vantaggio dell'open source è che, se si trova un problema, è possibile risolvere il problema immediatamente. Questo in realtà non ha alcun riscontro nella closed source.

In breve, l'effetto sulla sicurezza del software open source è ancora un grande dibattito nella comunità della sicurezza, anche se un gran numero di esperti di primo piano credere che ha un grande potenziale per essere più sicuri.

Guarda Linux ...

Answer 3

L'argomento che l'open source "ridurrà la sua sicurezza e la validità come persone rivelano scappatoie" è del tutto valido. Un prodotto sicuro non dovrebbe avere scappatoie in modo che quando si è fatto open source non ci dovrebbero essere scappatoie per rivelare.

Se il prodotto è dotato di scappatoie che sarebbe stato rivelato, rendendo open source che non è la sicurezza, che è appena nascondere il proprio la mancanza di sicurezza dietro il compilatore. Si potrebbe ottenere via con esso per un po ', ma alla fine qualcuno sta per decodificare il codice e trovare una di quelle scappatoie (che si può anche non avere conosciuto circa)

I si fiderebbe di un prodotto di sicurezza open source molto più di quanto mi fiderei di un chiuso una fonte.

L'esperto di sicurezza Bruce Schneier riassume bene:

Se prendo una lettera, bloccarlo in una cassetta di sicurezza, nascondere il un luogo sicuro a New York, poi ti dicono di leggere la lettera, che non è la sicurezza. Questo è l'oscurità. D'altra parte, se prendo una lettera e bloccarlo in una cassetta di sicurezza, e poi dare la sicurezza con il design specifiche della cassetta di sicurezza e centinaia di cassette di sicurezza identiche con la loro combinazioni in modo che voi e la migliori safecrackers del mondo possono studiare Il meccanismo di bloccaggio si -e ancora non può aprire la cassaforte e leggere il lettera -. che di sicurezza

Bruce Schneier - Applied Cryptography

Answer 4

Avere una lettura attraverso aprirà Sourcing Stack Overflow distruggere il nostro modello di business -?., mentre overflow dello stack non è lo stesso del vostro quadro sondaggio dovrebbe dare un quadro più chiaro di vista di molte altre persone

Coppia di pensieri che si sono verificati a me che io non conosco la risposta a me stesso ...

1. Solo perché qualcuno invia codice al progetto, potrebbe non essere abbastanza buono / accettato / usato. Open-source non rende automaticamente il codice migliore.
2. Allo stesso modo, non so che cosa il take-up medio è per gli sviluppatori aiutare con il codice. Non ci può essere orde di sviluppatori che contribuiscono alla fonte? (Anche se è necessario solo 1 o 2 per fare una differenza sostanziale).
3. Credo che c'è anche nulla ti impedisce di open-source il quadro, ma si esegue una versione personalizzata per il vostro business che ha altre caratteristiche / sicurezza costruito in.
4. Può rimanere il vostro business anonimi / non pubblicizzare che è dietro il quadro? E dove il quadro è installato / live - travestimento che si tratta di un quadro particolare? (Considerare wordpress e come una delle raccomandazioni di sicurezza è quello di nascondere il meta tag che dice "Wordpress versione 2.3").
5. È inoltre necessario parlare con il tuo capo / ufficio legale perché il vostro contratto di lavoro potrebbe dire qualcosa sul fatto che la proprietà intellettuale di tutto ciò che si crea sul posto di lavoro è di proprietà dal datore di lavoro, e open-sourcing po 'di codice che ha avuto origine in la società potrebbe atterrare in acqua calda.