LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Reakce CZLUGu na článek v EURU

České sdružení uživatelů operačního systému Linux se důrazně ohrazuje proti subjektivním závěrům, které prezentuje autor článku jako fakta. (str 60, č 17, ročník 06). V celém článku převládají argumenty, které jsou buďto zcela zcestné a nebo jsou v kontextu článku zcela irelevantní.

2.5.2006 13:00 | František Hucek | Články autora | přečteno 5500×

Teoretická rizika má každý software. Teoretická šance snadnějšího odhalení chyby zákeřným útočníkem je pouze jedna strana mince. Vůbec nic nevypovídá o tom, jestli v daném kódu skutečně nějaká chyba je, či zda tato chyba může přispět k úniku informací.

Obecně nelze nikdy zjistit, kdy byla daná chyba poprvé nalezena. Každá chyba může být nalezena nezávisle na sobě mnoha lidmi. Jediný okamžik, který lze stanovit přesně je okamžik zveřejnění chyby. Ne každý, kdo chybu nalezne ji zveřejní. Společnosti zabývající se průmyslovou špionáží nebudou vykládat každému na potkání, jak získávají pro své zákazníky informace. Naopak jiné týmy si dělají reklamu tím, že zveřejňují chyby a soupeří s ostatními, kdo jich nalezne více čí po kom bude daný exploit pojmenován. K profesionální etice druhé skupiny patří, že nejdříve o chybě informují výrobce a poskytnou mu čas k vyřešení problému. Podstatným ukazatelem je, jak dlouho výrobci trvá odstranění chyby. Tady produkty s otevřeným zdrojovým kódem vítězí na celé čáře a dokonce dávají zákazníkovi, který takové řešení zakoupí, možnost si daný problém vyřešit samostatně nebo alespoň zablokovat danou část aplikace a používat zbytek nerušeně dál, a to i v případě, že původní autor aplikace není dostupný..

Zde je nutné podotknout, že specialistům soustředěným na hledání chyb, kterými bezpochyby tvůrci programů pro průlom do systému jsou, nečiní uzavřenost zdrojového kódu příliš velkou překážku pro odhalení chyby, protože k jejímu odhalení není potřeba úplná znalost činnosti programu, pouze stačí objevit špatně ošetřené místo. K jeho nalezení stačí přivést program do autorem neplánovaného stavu, např. tím, že je vložena nečekaná vstupní hodnota. Smutným faktem z praxe bohužel je to, že komunitě crackerů stačí řádově hodiny na to, aby se znalosti o chybě a jejím využití k průniku dostala do širokého povědomí jejich členů. Následně je pouze otázkou času, kdy se objeví první škodlivý kód, který danou chybu využívá. A to, že po několika dnech od zveřejnění takového kódu, si zkouší průniky i ti, jež jsou neschopní si takovou chybu objevit je už jen nepodstatný detail..

Bohužel, každý systém, který obsahuje nějaká citlivá data, musí odolávat nenechavcům, a zde počet potencionálních útočníků roste úměrně v závislosti na ekonomické či politické důležitosti daného systému bez ohledu na to, jaký systém ho tvoří..

Citace z článku: „V případě programů s uzavřenými zdroji se drtivá většina chyb odhalí již uvnitř autorské firmy.“ Toto je sice pravda, ale to samé platí i o většině „otevřených“ produktech, za kterými stojí nějaká větší firma. Kde je psáno, že společnost vyvíjející např. MySQL nechává hledání chyb pouze na nadšencích..

Autor zde zcela chybně do jedné roviny postavil model vývoje a hotový produkt. Je pravda, že u otevřeného modelu vývoje jsou zveřejňovány průběžně testovací verze a chyby v nich jsou hledány betatestery. Tento model vývoje úspěšně sází na to, že nejvíce chyb je nalezeno při skutečném užívání produktu k zamýšlenému účelu a nikoliv při syntetických testech omezeným okruhem interních pracovníků. Tyto průběžné verze ale nejsou nasazovány do ostrého provozu. Teprve když se všichni společně dohodnou, že výsledek jejich snahy je bez známých chyb, které by bránily jeho nasazení, je vydána finální verze produktu a zahájen další vývojový cyklus..

A přitom příkladů úspěšného nasazení otevřeného modelu vývoje je jistě víc, například Sun uvolnil až na výjimky všechny zdrojové kódy ke svému systému. Nebo například MacOS, který je postavený na jednom z derivátů jádra BSD, které je také „otevřené“..

Mimo to, podobné vyhledávání chyb funguje i v ryze nekomerčních projektech, za zmínku stojí systém verzí u linuxové distribuce Debian, kdy jednotlivé verze prochází vývojovými stádii „unstable“, „testing“, „stable“. Tento model má i u korporací jako například Microsoft svůj ekvivalent..

Dalším omylem je, že stát v ohledu tvorby software coby zákazník nějak odlišuje. Jediným rozdílem oproti jiným je pouze to, že se jedná o veřejný subjekt. Ale i každá soukromá firma si svá data musí chránit, bez ohledu na to, zda používá otevřený či uzavřený systém. Dále pak, a to se i v rámci státní správy mění, se používá různě nastavená bezpečnostní politika, a zde je otázka nasazení „otevřeného“ či „uzavřeného“ softwaru spíše druhořadá. Nejde proto o konkrétní úpravy daného systému..

Daleko podstatnější je, zda daný systém vyhoví daným pravidlům té či oné společnosti, tedy jde o to, zda je možné daná pravidla na něm realizovat. Omylem by bylo se domnívat, že pro nasazení ve státní správě je potřeba jakýkoliv „krabicový“ software nějak upravovat přímo na míru. A i kdyby, ten, kdo by byl tvůrcem nějakého neveřejného rozšíření, jak se v článku také píše, je nadále povinen ho udržovat a, což je daleko podstatnější, opravovat..

Úpravy uzavřeného systému třetí stranou jsou už od počátku znemožněny, kdežto právě otevřené systémy může kdokoli upravovat na přání zákazníka. Vzhledem k vlastnostem některých OpenSource licencí (GPL, LGPL) pak má přímo třetí strana povinnost poskytnout zákazníkovi zdrojové kódy jejích úprav a ten má možnost si nechat prověřit jejich kvalitu a bezpečnost..

Také není pravda, že TCO (Total Cost of Ownership, celkové náklady na vlastnictví) je potřeba sledovat pouze u OSS, ten existuje u každého systému, každý systém, a je lhostejno zda postavený na „otevřených“ či „uzavřených“ programech, musí někdo udržovat v chodu. Samotný fakt, zda je daný produkt „otevřený“ nebo „uzavřený“ je pouze jeden z mnoha parametrů, které se při nasazení konkrétního produktu musí zvážit..

Nutno také poznamenat, že tam, kde hrozí riziko napadení, je potřeba mít nastavené účinné kontrolní a bezpečnostní mechanizmy bez ohledu na to, o jaký systém se jedná. Vymýšlet speciální auditování pouze otevřených řešení je proto zcela zcestné a navíc by ve faktickém důsledku došlo v lepším případě pouze ke zdvojení stávajících činností..

O dobrých zkušenostech s nasazením otevřeného systému například hovořil ředitel českého portálu Seznam.cz..

Za České sdružení uživatelů operačního systému Linux
Antonín Mička.


vyjádření na webu www.linux.cz

Verze pro tisk

pridej.cz

 

DISKUZE

Kvalita closed vs open source software 3.5.2006 17:47 Radim Kolář




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze