18Sep
Ищете позитивный подход, чтобы избавиться от всей негативной прессы, которую получала Heartbleed? Тогда Инициатива открытого исходного кода (OSI) имеет один. Новости были полны историй об эксплойте в OpenSSL (который сам по себе является проектом с открытым исходным кодом), который вызвал волну паники в Интернете. Поскольку большая часть общественности не понимает, что такое открытый исходный код (это сложно, но в основном включает в себя свобода перераспределенияи доступ к коду, на котором оно построено), а также тот факт, что все это может быть вызвано несколькими строками отредактированного текста, целостность программного обеспечения с открытым исходным кодом, по понятным причинам, оказалась под пристальным вниманием. Мы поговорили с представителем OSI, и они дали нам ту положительную информацию, которую мы все искали.
«На самом деле для сообщества невероятно полезно, что этот вопрос был поднят как такой важный. Многие люди полагаются на программное обеспечение с открытым исходным кодом в своей повседневной деловой жизни, но они могут этого не делать. имейте в виду, что они на это полагаются», — рассказала нам в интервью Лесли Хоторн, член правления OSI. интервью.
Hearbleed впервые рассказал большому количеству людей о том, что такое открытый исходный код.
Hearbleed впервые рассказал большому количеству людей о том, что такое открытый исходный код. OSI надеется, что эта осведомленность поможет пользователям осознать, что они могут внести свой вклад, отправляя отчеты об ошибках, что в конечном итоге приведет к созданию более безопасного программного обеспечения. Это, безусловно, поможет, но, учитывая, что уязвимость Heartbleed оставалась незамеченной более двух лет, разве на нее не было бы более чем достаточно глаз, чтобы обнаружить ее раньше? OSI признает, что это более специфично для самого проекта OpenSSL. «Широко сообщалось, что ребята из OpenSSL не внесли такого же финансового или человеческого вклада, как многие проекты с открытым исходным кодом», — сказал Хоторн.
Возможно, это усугубляется общей проблемой в отношениях с общественностью между преданными волонтерами, стоящими за такими проектами, и общественностью, которая их использует. Если вы пойдете в Веб-страница проекта OpenSSLНапример, вы не увидите больших баннеров, сообщений в блогах о том, что делать, или ссылок на ресурсы, которые публика может использовать для понимания Heartbleed. Вместо этого есть только одна незаметная ссылка на «срочные новости», указывающая на текстовый файл, насыщенный жаргоном. Хоторн признает, что это типичная «инженерная» реакция. По сути, там говорится: вот что не так; идите обновляйте свои системы. Конечно, для подавляющего большинства ошибок это, вероятно, работает; в конце концов, когда вы в последний раз заходили на OpenSSL.org, чтобы проверить, что нового? И это возвращает нас к вопросу об открытом и закрытом (платном) программном обеспечении.
«Широко сообщалось, что ребята из OpenSSL не внесли такого же финансового или человеческого вклада, как многие проекты с открытым исходным кодом», — говорит Лесли Хоторн.
Хоторн сообщает нам, что OSI считает, что между двумя моделями существует баланс, но в конечном итоге (как как и следовало ожидать) по-прежнему воспевает достоинства открытого исходного кода «много глаз, [потенциально] меньше ресурсов» настраивать. Ларс Эйлебрехт — соучредитель и член Фонд программного обеспечения Apache который питает множество веб-серверов в Интернете, более сдержанно относится к ситуации. «Создание чего-либо с открытым исходным кодом не делает его автоматически более безопасным, но создает основу для большей безопасности. Кроме того, проекты с открытым исходным кодом обычно имеют очень хорошие сроки выполнения критических исправлений безопасности, например, часы вместо часа. дней или недель [для проектов с закрытым исходным кодом]». Эйлебрехт указывает на недавний случай, когда Akamai (который продает сервис, использующий специальную версию OpenSSL), заявил, что исправил свое программное обеспечение, чтобы оно было безопасный.
Обычно платёжеспособным клиентам просто нужно доверять этому. Однако после Heartbleed исследователь исследовал продукт Akamai после обновления и обнаружил, что он был на самом деле все еще уязвим. Подобный вид проверки является обычным явлением для обоих лагерей, но, как утверждают его сторонники, обычно он привлекает больше внимания к миру программного обеспечения с открытым исходным кодом. Эйлебрехт аккуратно подводит итог сложной ситуации, когда говорит: «К сожалению, ошибка OpenSSL показала, что ошибка безопасности может скрыть на виду в течение очень долгого времени, несмотря на все экспертные оценки кода OpenSSL». Он напоминает нам: «В конце концов, важно то, количество квалифицированных людей, проверяющих фрагмент кода, чтобы повысить уверенность в отсутствии безопасности уязвимости».