الموثوقية والسلامة : مدونة مفتوحة لمغلقة الافراج عن برمجيات المصدر المفتوح

أصبح واحدا من المجالات الرئيسية لتكنولوجيا المعلومات. ولكن مع تزايد شعبية النظم المفتوحة بصورة متزايدة في مواجهة قضايا والموثوقية والأمن الدوليين. ألن Bulanzhe الافراج عن برمجيات المصدر المفتوح وأصبح واحدا من المجالات الرئيسية لتكنولوجيا المعلومات. ولكن مع تزايد شعبية النظم المفتوحة بصورة متزايدة في مواجهة قضايا والموثوقية والأمن الدوليين. في البداية ، فإن النظام والمفتوحة المصدر هي نتيجة الحر بالتعاون المتطوعين المبرمجين. نظم كاملة تنتج في ضوء ذلك ، ويمكن استخدام أي من دون رسوم الترخيص. تقديم الدعم لهذه الأنظمة أيضا من المتطوعين تقوم بها باستخدام القوائم البريدية والمواقع على شبكة الإنترنت. اليوم ، غير أن كثيرا من النظم المفتوحة تعمل المهنيين ، وتطوير ممارسة أجرا المبرمجين ، ونظم الدعم قد يكون مجانا أو مقابل رسوم. النظم التقليدية الخاصة التي أنشأتها فرق كبير يتألف من المطورين ، ومديري البرامج والتقنية وكتاب ومهندسين للتحقق من الجودة. وعادة ما تكون مثل هذه الأنظمة عرضة لعدة عمليات مراجعة الحسابات ومراجعة الحسابات الرسمية. في شكلها النهائي ، وهي تمثل السلع الاستهلاكية التي تباع أو مرخصة لاستخدام الكتلة الدفع. دعم البرامج التي تقدمها عادة المطور. وهو نموذج أفضل من حيث الموثوقية والأمن الدوليين؟ لكل منهما أنصار عن آرائهم في العديد من المنشورات. النظر في الحجج التي قدمت في هذه المنشورات ، فضلا عن الموثوقية والأمن العام والخاص. سلامة وموثوقية والنظم العامة والخاصة اليوم محل نقاش ساخن موثوقية وأمن النظم المفتوحة. من مقدمي الخدمات من القطاع الخاص في تمويل ونشر البحوث تقارير تشير إلى أن نظام مغلق مع الأمن من نظرائه المصدر المفتوح. ولكن لكل سجل مشيدا تفوق نظم خاصة في هذا الصدد ، واستجابة المجتمع المفتوح «دحض» التقرير. ولعل السبب الرئيسي لمناقشة ساخنة هو أن تنشر على نطاق واسع من فتح النموذج يهدد إيرادات الخاصة موردي البرمجيات. في الآونة الأخيرة تقارير فصلية لجنة الاوراق المالية والبورصات الامريكية شركة مايكروسوفت ، واحدة من أكبر المنتجين ، وقال إن تعزيز ونشر نظم مفتوحة وتمثل تهديدا كبيرا لنموذج الأعمال [1]. وليس من المستغرب أن بائعي البرامج الحاسوبية الخاصة تحاول تشويه المصادر المفتوحة. هذا النقاش حول سلامة وموثوقية في القطاعين العام والخاص البرمجيات عادة ما يهبط الى مسألتين رئيسيتين : توافر شفرة المصدر والعيب مستويات البرمجيات. مناقشة هذه المسائل. توافر شفرة المصدر في يونيو 2002 ، ومعهد أليكسيس دو توكيوفيللي مؤسسة ممولة جزئيا من قبل مايكروسوفت ، ونشرت ورقة [2]. من بين أكثر من جدل وكان من نتائج ذلك وجدت أن حالة استخدام البرمجيات مفتوحة المصدر والترخيص الترخيص (رخصة عامة الجمهور) قد بات يشكل مشكلة للأمن القومي. والسبب في ذلك هو العثور على اقتراح : مصدر عامة للتحريض ضد قراصنة الدراسة من نقاط الضعف ، ووضع «حصان طروادة» ، وغيرها من أنواع البرامج الخبيثة. توافر شفرة المصدر قدمت بوصفها خطرا كبيرا على الأمن gosorganizatsy استخدام البرمجيات المفتوحة. هذا الاستنتاج هو عرضة للتساؤل. وهذا يعني أن النظام الخاص مع مغلقة مصدر تلقائيا أكثر أمنا (وهي ما يسمى ب «الأمن عن طريق الغرابة». إذا كان الأمر كذلك ، فإن عددا من نقاط الضعف في النظم المغلقة ينبغي أن يكون أقل بكثير في فتح النظير. ومع ذلك ، فإن نشر مجموعة من البيانات المفتوحة نظم أقل بكثير من درجات الضعف مما نظرائهم من القطاع الخاص. على سبيل المثال ، وفقا لمركز التنسيق من أجل الأمن سيرت مركز التنسيق (www.cert.org) ، في شبكة الإنترنت مع خادم أباتشي مفتوحة المصدر المتشعب الخادم (httpd.apache.org) أقل بكثير من أوجه الضعف وجدت من خدمة معلومات الإنترنت من مايكروسوفت ، وفقط أكثر قليلا من المشاريع في نتسكيب الخادم. يختبئ شفرة المصدر لا يؤدي إلى زيادة في نظام الأمن. المجرمون لا تحتاج إلى شفرة المصدر للكشف عن عيوب في البرمجيات. على سبيل المثال ، على نحو عام للبحث عن العيوب هو أن يرسل برنامج البيانات غير متوقع أو غير عادي ، وبعد ذلك رد فعل pronablyudat نظام [3]. وإذا رفضت ، أو في معالجة مثل هذه البيانات في حد ذاته غير عادي ، فقد تبين عدم وجود قيمتها إلى مزيد من الدراسة. مع انتشار وسائل متطورة للرصد وتصحيح الأخطاء ، وتفكيكها يشكل جزءا كبيرا من مصدر يمكن الحصول عليها من ثنائي للتنفيذ نسخة من البرنامج. أي شخص مهتم في الحصول على شفرة المصدر ، وانه يجب ان تطبق على برنامج واحد من الأدوات متاحة على نطاق واسع. لمحة مختصرة عن هذه الأدوات ، وإن لم يكن مثاليا تماما ، وتعطي معلومات كافية لتكوين فكرة عن نظام الإدارة الداخلية. وبالإضافة إلى ذلك ، غالبا ما يكون غير مقصود تسرب شفرة المصدر ، والصانعين لمصلحة تطوير البرامج للاستعانة بمصادر خارجية ، أو لأسباب عدة ، وتتقاسم شفرة المصدر مع المنظمات الأخرى. بالطبع ، هناك أمثلة لانعدام الأمن والنظم المفتوحة. عيوب البرمجيات مفتوحة في برنامج البريد الإلكتروني sendmail مفضلة كانت هدفا لهجمات على مر السنين. في تشرين الثاني / نوفمبر 1988 ، طالب في جامعة كورنيل روبرت موريس أنشأت أول دودة إنترنت [4]. ويعزى ذلك جزئيا إلى مواطن الضعف في sendmail وfingerd البرامج ، وسرعان ما انتشر عبر الانترنت وأدت إلى تعطل أجهزة الكمبيوتر الضخمة. واحد من هذه التقارير ، وأثار دودة موريس 6 آلاف من 60 ألفا (10 ٪) ، شبكة الإنترنت ، وموريس اكتشفت هذا الضعف من خلال تحليل شفرة المصدر برامج sendmail أصابعهم. غير أن المصدر نفسه رمز توافر الإنترنت مكنت المجتمع بسرعة رد على التهديد والتخفيف من آثاره. في (5) تنص على ما يلي : «إن توافر شفرة المصدر مهم جدا. جميع الأطراف التي ردت بسرعة ونجح في فهم طبيعة الفيروس شفرة المصدر يونكس ». توافر شفرة المصدر -- من التخفيضات في كلا الاتجاهين. ويمكن للمجتمع قراصنة استخدام تحليل الشفرة لإيجاد نقاط الضعف. وفي المقابل ، يمكن لمجتمع المطورين صيانة وتحسين الشفرة ، واستخدام منهجية اختبار رسمي لكشف وتصحيح عيوب البرمجيات قبل أن يتمكنوا من الاستفادة من المفرقعات. مجتمع يمكن للمستخدمين استخدام شفرة المصدر لكشف ومنع الهجمات ، وبعد أن تتمكن من تحديد أوجه القصور على وجه السرعة للقضاء على مواطن الضعف ونشر التصحيح. عند التعامل مع نظام مغلق ، والمستخدمين يعتمدون كليا على قدرتك على سرعة الكشف عن مواطن الضعف ، وتطوير وتوزيع الحلول. في هذه الحالة ، فإن التمييز بين النظم المستخدمة على نطاق واسع مفتوح ونظائرها عن طريق استخدام القيم الواردة في شفرة المصدر ردا على هذا التهديد. توفر الشفرة المصدرية وقد أثبت نظام حاسم لمديري مكافحة دودة موريس في عام 1988. واستعرض الخبراء التقنيين شفرة المصدر هاجم النظم ومواطن الضعف ، ووضع تدابير وقائية ضد تهديدات محددة وقوع هجمات في المستقبل. ميزة الحصول على شفرة المصدر كان أبرزها تقرير الشركة ميتر ([6]) ، التي نشرت في تموز / يوليو 2001. وقيل إنه في مجتمع مفتوح «الشعبية المفتوحة المصدر والمنتجات تخضع لخبرة واسعة ، تمكن البرنامج من تحقيق مستوى عال من الأداء» ، والبرمجيات والحلول سراح بقع «يحتمل لكي تبلغ نحو أسرع مما كان عليه في حالة وجود برامج خاصة». مستويات العيوب أي البرمجيات مفتوحة أو مغلقة ، وفيه الكثير من النواقص ، والنسبة المئوية ليؤثر تأثيرا مباشرا على أمن النظام. وفقا لمعهد هندسة البرمجيات ، وخبرة مبرمج «تجاوز» عيب واحد تقريبا لكل 100 خطوط رمز [7]. إذا خلال دورة حياة البرمجيات من 99 ٪ من هذه العيوب وسيتم الكشف عنها وتصحيحها ، وحزمة البرامج ، التي تتألف من 1 مليون خط من الشفرة المصدرية (مبلغ متواضع نسبيا للمعايير المعاصرة) ، وسيكون ما يقرب من 1 ألف العيوب. على سبيل المثال ، توزيع هات لينكس 7.1 تتألف من نحو 30 مليون دولار وفقا للقانون ، ومايكروسوفت ويندوز إكس بي يحتوي على حوالي 40 مليون خط. حتى مع تجارب واسعة النطاق ، والعمل على معالجة نقاط الضعف في هذه الانظمة لا يزال عدد كبير من البرمجيات العيوب. استخدام الاحصاءات الواردة أعلاه ، فإن عددا من دون عيوب في ويندوز إكس بي وهات لينوكس يمكن تقدير ، على التوالي ، الى 40 الفا و 30 الفا ، فضلا عن ذلك ، خاصة وعامة لنظام يتطور باستمرار. خلال دورة حياة النظام وتضيف ميزات جديدة ، واكتشاف العيوب وإزالتها. ونظرا لأن معظم مجموعات البرمجيات في حالة تطور مستمر ، من الصعب تقدير عدد من العيوب في نظام محدد. عيوب البرمجيات -- وهي مشكلة لا يمكن تجنبها ، والتي يمكن أن تقلل من الاعتماد على النظام ، وبالتالي ، فإن السلامة العامة. الموثوقية والأمن مرتبطان ارتباطا لا ينفصم. لذا ، فإن كل قضية مفتوحة أو خاصة البرنامج يتضمن العديد من العيوب. البيانات المتاحة ، ولكن عندما تبين أن عدم وجود برامج وجدت ، ومفتوح للمجتمع على الاستجابة بسرعة أكبر من القطاع الخاص. وفقا ل[8]) ، ومنظمة مفتوحة وعادة ما تستجيب بسرعة للمشاكل ، وبصراحة ، في حين أن القطاع الخاص الموردين «سحب غريزي ، تخفي وتنكر». منظمات العامة صنع التصحيحات الصغيرة ، التي أصبحت علنية من خلال القوائم البريدية والمواقع على شبكة الإنترنت. ويمكن للمستخدمين تنزيل التحديث ، تطبيق التصحيح واستعادة النظام. في حد ذاته على الدفع ، بدوره ، هو جزء من شفرة المصدر ، وهو متاح للجمهور لمراجعة الحسابات. في المقابل ، يسعى لمقدمي الخدمات من القطاع الخاص وينتظر الافراج عن مجموعات كبيرة مجتمعة. وعادة ما تحتوي فقط ثنائي الكود الذي اغلق امام الجمهور والبحث ويمكن أن يساهم هذا النظام لمشاكل جديدة. وهو يفعل ذلك ، لديك ثقة عمياء لنزاهة وكفاءة المنتج.