Едно от главните неща, привличащи обикновените потребители към открити системи като
Линукс и софтуера с отворен код е това, че той минава качествени независими проверки на няколко етапа,
поддръжката му е осъществявана от далеч повече хора, отколкото тези, които се грижат за проприетарния софтуер и че ако злоумишленик реши да имплантира зловредна функционалност в софтуерните хранилища или в отделен софтуер, това няма да остане незабелязано. За компаниите пък, открития код представ
я невероятни възможности, каквито проприетарния софтуер не може да предложи никога - гъвкавост и свобода на действие да бъде настроен за целите на бизнеса или предприятието, използвайки неговата база без да бъдат ограничавани. Що се отнася до подкрепата на откритите проекти има обаче случаи, в които нещата не са съвсем така. Това стана ясно в последните години с разкритията, че
Shellshock, уязвимост , засягаща Bash е
останала незабелязана в продължение на седем години, a
Heartbleed, повече от две години. Проблемът е там, че някои открити проекти биват поддържани от ентусиасти, които работят по тях доброволно, в свободното си време. Именно поради тази причина големи технологични компании
стартираха преди две години Core Infrastructure Initiative, целяща да окаже на открити проекти да получат адекватна и надеждна подкрепа. Тази седмица този проблем бе засегнат и от
главния технологичен мениджър в Linux Foundation Нико ван Сомерен, който беше гост на провеждащата се в Лондон конференция
Cloud Expo. Именно сигурността според него е голямото предизвикателство пред софтуера с отворен код. Според него трябва да се включат повече хора, които да търсят грешки в кода и да запушват откритите дупки на технология, на която се основава Интернет днес.„
Проектите с открит код са пътищата и мостовете на Интернет. Почти всичко, което правим в Интернет разчита открит код. Има множество хора поддържащи открити уеб платформи, изградени на основата на сървърни архитектури с открит дизайн, които разчитат на открити имплементации на SSL, интегрирани в уеб сървъри с открит код, изградени на контейнер на основата на открит код, който на свое място разчита на открито ядро, намиращо се в хипервизьор с открит код”, споделя той. Според Сомерен
Линукс си има голям проблем в лицето на сигурността, породен от недобро програмиране, липсата на ръководство, спазването на най-добрите практики при писането на код и недостига на способни хора, които да откриват и оправят проблемите.Според него, в момента сме свидетели на Златна ера за открития код, но не всичко е идеално. „Имаме си проблем, който го имаме в исторически план с откритите проекти и той се крие в сигурността. Проблемите със сигурността не с уникални за този тип проекти”, заявява убедено Сомерен. Проблеми, които са довели до заплахи, като Shellshock, Heartbleed и Poodle, които са изложили милиони на риск.Сомерен не хвърля вина конкретно върху никого, но предупреди, че много от тези проблеми могат да бъдат приписани на хора, които изграждат приложения и услуги на основата на стабилен, но стар код, който съдържа дупки, които никой не се е заел да прегледа. Освен това, през годините са били поставени основите на множество проекти и доставянето на обновления към тях може да е истински кошмар, тъй като не знаеш налагането на пач какво може да причини. Той сравнява процеса с кула от блокчета, строена от различни хора, при което някой от „строителите” взема, че дърпа блокче от основата.„Ако си мислите, че може да управлявате бизнеса си без открит код, вие тотално грешите. Нуждаем се общността да се обедини и да помогне за справянето с тези проблеми в сигурността и да поддържаме тези мостове и пътища в изрядност”, заключи той.
Миналата година, доста сходно мнение изказа и изпълнителният директор на Linux Foundation Джим Цемлин. Един от примерите, които той приведем за да подчертае сериозността на проблема е, че ntpd - програмата, служеща за синхронизация със сървърите на NTP протокола се поддържа от един човек, който при това е доброволец.
