Varnost in prednosti odprtokodnih (FOSS) projektov

Odprtokodni (FOSS) projekti so postali ključni del sodobne digitalnega sveta. Njihova prilagodljivost, transparentnost in dostopnost so pritegnili pozornost tako posameznikov kot tudi organizacij. Odprtokodni projekti temeljijo na načelu odprte kode, kjer je koda programske opreme na voljo za pregled, spreminjanje in distribucijo s strani široke skupnosti razvijalcev in uporabnikov. Ta model sodelovanja in transparentnosti je prinesel številne varnostne prednosti, ki jih je težko doseči v tradicionalnih zaprtih sistemih.

Prednosti odprtokodne programske opreme (FOSS)

Odprtokodna programska oprema prinaša pomembne koristi organizacijam, ki jo uporabljajo. Med njimi je na prvem mestu prihranek časa. Uporaba odprtokodne kode pri razvoju programske opreme pomeni, da inženirjem ni treba vedno znova porabljati časa za reševanje istega problema. Na voljo je nešteto odprtokodnih pripomočkov za beleženje in drugih skupnih programskih komponent.

Poleg tega ima odprtokodna koda korist od tega, da jo spremlja več oči. Koda je z vidika funkcionalnosti pogosto čistejša in stabilnejša, zaradi česar je na splošno kakovostnejša. Vključitev odprtokodne programske opreme v projekt pomeni, da je projekt deležen več sto tisoč delovnih ur usposobljenih inženirjev z vsega sveta. Končni rezultat je kakovostnejša in hitrejša izdelava, saj je odprtokodna programska oprema deležna številnih preverjanj kakovosti in pregledov skupnosti.

Odprtokodna programska oprema je pogosto tudi varnejša od lastniške. Linus Torvalds, avtor operacijskega sistema Linux, je v odprtokodni skupnosti razširil teorijo „več oči“ pri razvoju programske opreme. Gre za to, da je odprtokodna programska oprema javno dostopna in da so spremembe kode lahko posredovane z več strani. Ker je koda prosto dostopna za revizije in posodobitve, lahko etični hekerji pregledajo in predlagajo varnostne spremembe, zaradi česar je odprtokodna programska oprema ena najbolj varnih in stabilnih na svetu.

Izboljšana varnost

Številni navdušenci nad odprto kodo trdijo, da je odprtokodna programska oprema varnejša od lastniške. Vendar odprtokodna programska oprema ni sama po sebi varnejša. V bistvu imamo tri glavne razloge, zakaj je odprtokodna programska oprema po mnenjih nekaterih strokovnjakov varnejša za uporabo:

• Več ljudi pregleduje kodo. Tako je mogoče odkriti in odpraviti več težav.
• Ranljivosti se odpravljajo veliko hitreje, posodobitve pa so pogostejše. Tako ostane malo časa za izkoriščanje morebitnih pomanjkljivosti kode.
• Zaprto-kodna programska oprema večinoma uporablja številne odprtokodne komponente. Zato zaprtokodna programska oprema ne pomeni večje varnosti, zlasti če se odprtokodne komponente napačno upravljajo in ne posodabljajo pogosto.

Pravzaprav je večja varnost izvorne kode glavni razlog, zakaj je odprtokodna programska oprema tako priljubljena, in velja za največjo prednost odprtokodne programske opreme.

Razumevanje varnostnih tveganj, povezanih z FOSS

Čeprav ima FOSS zaradi svoje odprte in prilagodljive narave vrsto prednosti, pa vsebuje tudi varnostne zaplete, ki zahtevajo posebno pozornost, zlasti v okviru dobavnih verig programske opreme.

Izzivi, ki izhajajo iz odprte narave projekta: Prosta dostopnost izvorne kode omogoča skupne izboljšave, pri katerih vzdrževalci in sodelujoči najdejo in odpravijo napake. Vendar ta odprtost pomeni tudi, da lahko akterji groženj zlahka analizirajo kodo, da bi našli in izkoristili ranljivosti.

Pomanjkanje celovitega testiranja: Odprtokodni projekti običajno nimajo centraliziranega nadzora kakovosti, zato ni zagotovila, da je bila koda temeljito preizkušena glede varnostnih pomanjkljivosti. Pomanjkanje učinkovitih postopkov testiranja lahko privede do tega, da se skrite napake ali ranljivosti izmuznejo skozi razpoke.

Omejena odgovornost prodajalcev: Odprtokodni projekti za razliko od komercialnih prodajalcev programske opreme, ki pogosto zagotavljajo namensko podporo, običajno nimajo strukture ali virov, potrebnih za prevzemanje odgovornosti za varnostna vprašanja. Decentralizirana struktura ali omejeni viri lahko povzročijo zamude pri odpravljanju ranljivosti, kar lahko uporabnike te programske opreme FOSS izpostavi povezanim tveganjem.

Ocenjevanje varnosti FOSS

• Pregled kakovosti kode: Pred uporabo odprtokodne baze je treba preveriti kakovost kode. To je ključnega pomena, saj kakovost kode neposredno vpliva na varnost. Neustrezna kakovost kode povečuje dovzetnost za varnostne ranljivosti.

• Ocena licenciranja odprte kode: Temeljito je potrebno oceniti licenčne pogoje programske opreme. Prepričati se je treba, ali licenca dovoljuje nadaljnjo distribucijo ali spreminjanje in ali obstajajo kakšni posebni pogoji. Razmisliti je potrebno tudi o morebitnih posledicah licence v konkretnih primerih uporabe, zlasti v primeru, kot je licenca GPL, ki lahko v nasprotju z licencami, kot sta BSD ali MIT, prinaša tveganja za zaprtokodne izdelke
• Ocena vključenosti skupnosti: Prepričati se je potrebno, da programski projekt skupnost aktivno vzdržuje. Dobro znamenje je lahko tudi nadaljnja vključenost prvotnih vzdrževalcev, vendar je treba upoštevati, da so lahko ti tudi predali vajeti novim mojstrom, da bi izboljšali ali nadaljevali uspeh projekta. Uravnotežena kombinacija prispevkov skupnosti in nadzora lahko dolgoročno poveča stabilnost in varnost programske opreme.
• Preverjanje vzdrževanja kode: Za oceno stanja programske opreme in njene varnosti, je treba pozornost nameniti tudi praksam vzdrževanja kode in posodobitve repozitorija. Dobro se je prepričati, da vzdrževalci ali skupnost nemudoma obravnavajo poročila o napakah in varnostnih ranljivostih. Ocenjevati je potrebno tudi pogostost posodobitev repozitorija, saj redne posodobitve pogosto kažejo na dobro vzdrževan projekt, medtem ko lahko dolgotrajna neaktivnost kaže na morebitna tveganja. Poleg tega je uporabno tudi preveriti različico odprtokodnega projekta v potencialni uporabi. Na splošno velja, da je v prvih različicah običajno več varnostnih težav zaradi postopnega odkrivanja ranljivosti skozi čas.
• Izvedba varnostne ocene: Pri ocenjevanju varnosti programske opreme je dobro upoštevati dva dejavnika tveganja: ranljivosti, ki so pogosto nenamerne slabosti, in zlonamerne prispevke, ki so namerne notranje grožnje programski opremi. Podatki so lahko zbrani iz novic, blogov in razvijalcev, tako pa je pridobljeno celovito razumevanje morebitnih ranljivosti ali preteklih primerov škode, povezanih s programsko opremo. Ta pristop zagotavlja temeljito oceno varnostnih izzivov in tveganj.

Pri izbiri odprtokodnih projektov je varnost ključnega pomena. Pregled kode, ocena licence, vključenost skupnosti, vzdrževanje in varnostne ocene so pomembni koraki pri zagotavljanju varnosti odprtokodnih rešitev. S temi metodami lahko uporabniki bolje razumejo tveganja in prednosti posameznih projektov ter sprejemajo bolj informirane odločitve glede uporabe programske opreme.

Avtorica prispevka: Lea Bogosavljević

O nas

Zavod Rhea se posveča izboljšanju dostopa do storitev in povečanju ozaveščenosti o digitalni pismenosti, zlasti pri ranljivih skupinah. S spodbujanjem digitalne pismenosti ljudem omogočamo boljšo uporabo digitalnih orodij in izboljšamo kakovost življenja. Prav tako se trudimo povečati dostopnost odprtokodne in pregledne programske opreme za trenutne in potencialne uporabnike. Več o nas in naših programih lahko izveste na https://www.rhea.si/.

Viri:

Linskens, A. (28.8.2023). A guide for open source software (OSS) security. Sonatype. Pridobljeno na https://blog.sonatype.com/a-guide-for-open-source-software-oss-security

Unlock the Full Potential of Open Source Software (with FossID). (n.d.) FOSSID. Pridobljeno na https://fossid.com/blog/unlock-the-full-potential-of-open-source-with-fossid/

Kaminsky, S. (13.4.2023). Open source: the top-10 risks for business. Kaspersky Daily. Pridobljeno na https://www.kaspersky.com/blog/open-source-top-10-risks/47875/

Slika: https://www.pexels.com/photo/engineers-designing-app-3912478/