¿Por qué el software de código abierto es más seguro?

¿Por qué el software de código abierto es más seguro?

El software de código abierto ha tenido durante mucho tiempo la reputación de ser más seguro que sus contrapartes de código cerrado. Pero, ¿qué es lo que hace que el software de código abierto sea más seguro? Un redditor recientemente hizo esa pregunta y obtuvo algunas respuestas interesantes.

Parasymphatetic hizo su pregunta en el subreddit de Linux:

Por lo tanto, existe un argumento común de que Linux y el software de código abierto son más seguros que sus contrapartes de Windows. Ahora, como un principiante de Linux total y de código abierto, tengo la siguiente pregunta: ¿Cómo es eso?

¿Cómo sabe que el programa compilado que descarga es exactamente igual al código fuente que le proporcionaron? ¿Y alguien comprueba realmente diez mil líneas de código proporcionadas por alguien? ¿Vos si?

¿Y no pone la misma confianza en la gente de Valve y Blender como los usuarios de Windows con el ceño fruncido confían en Microsoft?

Más en Reddit

Sus compañeros redditors de Linux respondieron con sus pensamientos sobre por qué el software de código abierto es más seguro:

Bushwacker: ”Todo está disponible para inspección. Puede compilar el código usted mismo, incluido el kernel. Ahora sobre las puertas traseras en los compiladores, esa es otra historia ".

AiwendilH: ”No es que el software de código abierto esté necesariamente mejor diseñado ... es que sin el código fuente es imposible ver lo que hace un programa. Por lo tanto, el software de código abierto se considera más seguro, ya que es el único tipo de software cuya seguridad se puede verificar sin necesidad de confiar ciegamente en alguien ... todo lo que no sea de código abierto no se puede verificar y, por lo tanto, debe verse. tan inseguro ".

Daemonpenguin: ”El código abierto no es automáticamente más seguro que el código cerrado. La diferencia es que con el código fuente abierto puede verificar usted mismo (o pagarle a alguien para que lo verifique) si el código es seguro. Con los programas de código cerrado, debe confiar en que un fragmento de código funciona correctamente, el código abierto permite que el código sea probado y verificado para que funcione correctamente.

El código abierto también permite que cualquier persona arregle el código roto, mientras que el código cerrado solo puede ser arreglado por el proveedor.

Con el tiempo, esto significa que los proyectos de código abierto (como el kernel de Linux) tienden a convertirse en personas más seguras; más personas están probando y arreglando el código.

Cualquiera que haga una afirmación general como "El software de código abierto es más seguro", se equivoca. Lo que deberían decir es: "El software de código abierto se puede auditar y corregir cuando su comportamiento o seguridad están en duda".

¿Alguien revisa el código? Mucha gente lo hace, especialmente en proyectos más grandes como Linux, la biblioteca C, Firefox, etc. ¿Yo? Por lo general, no, pero he realizado algunas auditorías en el código que estaba ejecutando para asegurarme de que funcionaba correctamente.

Por lo general, no confío en Microsoft o Valve o cualquier otro software de código cerrado. Y por lo general, solo confío en los proyectos de código abierto que han sido proactivos en lo que respecta a la seguridad ".

Toemme: "Actualmente, Debian está intentando que sus paquetes se compilen de manera reproducible [1], por lo que puede verificar si el binario que obtiene está realmente construido a partir del código fuente que le muestran".

Eingaica: ”La mayoría (si no todas) las distribuciones binarias compilan software y no utilizan binarios precompilados proporcionados por los desarrolladores. Al menos ese es el caso del software de código abierto / gratuito. Si puede confiar en que los binarios que obtiene de su distribución son idénticos a los que obtendría compilando usted mismo, es un problema diferente (consulte, por ejemplo, el proyecto de compilaciones reproducibles de Debian) ".

OMGTokin: ”... es cierto que está instalando binarios y depositando mucha confianza en el upstream. Muy pronto, como otros han mencionado, habrá compilaciones reproducibles, pero afortunadamente para usted, la mayoría del software que instale tiene un repositorio de git que le permitirá extraer el código fuente para compilar y compilar usted mismo ".

Sendme: ”El nivel de paranoia del que estás hablando está bastante lejos. El problema con el software de código cerrado en lo que a seguridad se refiere es que solo unas pocas personas pueden ver el código fuente e intentar arreglarlo. FOSS tiene muchos más desarrolladores mirando el código, por lo que es de esperar que produzca más correcciones de errores ".

Tymanthius: ”Aquí está la cuestión , a menos que vayas a hacer copias de seguridad de VARIAS capas en profundidad para hacer compiladores, tienes que empezar a confiar en alguna parte. Además, está el hecho simple y llano de que la mayoría de nosotros simplemente no es tan importante / interesante para espiar ".

Justcs: "La licencia no dicta la calidad del código".

Whotookmynick: ”... no puedes confiar en una gran cantidad de código para otro, puedes usar herramientas como wirehark, strace, etc.

Apple y MS (y Valve) son empresas con sede en EE. UU., Por lo que si su gobierno les decía que hicieran algo, tendrían que cumplir. Otra cosa es el gobierno alemán que en realidad crea troyanos legalmente.

En cuanto a la seguridad personal más allá de eso, su enrutador filtra la mayoría de las amenazas a menos que su computadora abra un puerto por sí mismo, debería estar bien bajo linux / bsd X puede abrir uno, sshd abre uno, vnc, skype / irc / lo que sea, pero tienen tener vulnerabilidades explotables a través de una conexión "

Más en Reddit