Поделиться
Оправдана ли вера в открытый код?
За последние три месяца общество пользователей операционных систем открытого типа столкнулось с проблемами, заставившими аналитиков задуматься: а так ли надежны программы open-source?В то время как Microsoft сосредоточила усилия на исправлении многочисленных багов и дыр в системе безопасности, службы проверки выложили в интернете свои отчеты о трех распространенных ошибках в приложениях Linux.
Эти ошибки могут сильно повлиять на производительность системы и разработчикам следовало бы перепроверить свой код на наличие багов. Но беда в том, что большинство членов сообщества open source не станет беспокоиться по этому поводу.
"Никто не делает детальных проверок", - констатировал Криспин Коуан (Crispin Cowan), начальник отдела разработок компании WireX Communications, производящей программные продукты на Linux-основе с дополнительными функциями обеспечения безопасности - "Перепроверка старого кода - скучное и быстро надоедающее занятие, понятно, что никому этого не захочется делать".
Г-н Коуан - основатель Sardonix, веб-сайта, ориентированного на обсуждение проблем программных продуктов открытого типа.
Однако после того, как Microsoft стала предпринимать серьезные меры по совершенствованию безопасности, для разработчиков альтернативного программного обеспечения пришло время задуматься, а не слишком ли они расслабились, надеясь на прежнюю непогрешимую славу безопасности приложений open source?
В начале марта баг, связанный с библиотекой компрессии данных, Zlib, сделала Linux-системы потенциально уязвимыми, хотя информации о серьезных атаках с использованием этой ошибки в прессе не появлялось.
В середине марта баг в программе кодирования OpenSSH, обычно используемой для защиты передачи информации между Linux-компьютерами, сделал многие из таких машин уязвимыми для внешних атак.
Внутри сообщества пользователей программ open source распространена теория, согласно которой у открытого кода значительно больше шансов быть чище от багов чем у кода, создаваемого и проверяемого одной компанией. Каждый разработчик, имеющий дело с UNIX-подобными системами, замечающий баг, сообщает об этом сообществу, таким образом убираются многие даже "глубоко запрятавшиеся" ошибки в коде.
Тем не менее, по мнению г-на Коуэна, эта теория, звучащая, по сути, довольно логично, на практике не дает тех результатов, что от нее ожидают.
"Эта теория не дает гарантии, что весь код Linux будет проверен с одинаковой точностью и вниманием. В программе есть определенные "популярные" участки, в которых действительно отловлены практически все баги, но ведь есть и другие участки кода, которыми почти не интересуются, - никто кроме авторов на них и не смотрел - но ведь именно они и составляют основу Linux-систем" - заявил г-н Коуан.
Г-н Коуан надеется, что созданный им сайт, Sardonix, поможет расширить сферу ведущихся разработчиками проверок и обсуждения их результатов.
Сейчас группа разработчиков занялась, например, исправлением ошибок в PHP, отмеченных ранее. Сообщество настаивает на том, что каждый может сделать свой вклад в общее дело, в этом и заключается преимущество открытого кода. Несмотря на то, что ошибки в таких программах вызывают даже более бурную реакцию и могут быть достаточно серьезными, они и исправляются быстрее, общими усилиями.
По словам Линуса Торвальдса (Linus Torvalds), создателя ядра Linux, люди, имеющие дело с кодом обычно анализируют его не с целью проверки, а с какими-то другими целями, но если находят ошибки, разумеется не поленятся сообщить об этом сообществу.
Что касается шума, поднятого вокруг новой стратегии Microsoft, делающей упор не безопасности и надежности кода, г-н Торвальдс склонен считать, что это скорее является показателем того, насколько слабым и "грязным" был изначально их код.
"Конечно же, и в opensource-сообществе не обходится без багов. Но мы не позволяем этим багам сделать наши системы уязвимыми настолько, чтобы каждую неделю терять миллионы долларов из-за очередного вируса или хакерского нападения", - прокомментировал г-н Торвальдс.
Источник: по данным CNet.
Короткая ссылка
