Linux Support LLC

На прошедшем недавно саммите в Бостоне, организованном компаний Red Hat, старший инженер по безопасности Джош Брессерс (Josh Bressers) пояснил  почему Open Source модель является наилучшей для создания защищенного программного обеспечения: "Мы не носим одежду".

Естественно, он высказался в переносном смысле, говоря о том, что Open Source ПО открыто для всех глаз: "У нас нет секретов, мы не можем незаметно пропихнуть потребителям исправление в безопасности, ведь вы всегда можете проверить исходные коды". В мире же закрытого ПО вам приходится полностью довериться вашему поставщику - вы не можете проверить качество исходного кода.

Говоря о фиксированном цикле публикации обновлений безопасности, например, выпускаемых для ОС Windows только каждую вторую среду месяца, Джош констатировал, что Red Hat не может так поступить, ибо Microsoft имеет возможность сокрытия ошибок по собственной прихоти, в мире же Open Source такое невозможно, ибо каждый может проверить исходные коды приложения.

Другим фактором положительно влияющим на безопасность открытого ПО является совместная работа команд различных Linux-дистрибутивов, работающих совместно в области выявления и исправления проблем безопасности. Например, если разработчики Debian обнаружили уязвимость, они обязательно поделятся информацией с товарищами из других Linux-дистрибутивов, так как они осознают, что проблемы одного открытого проекта являются проблемами каждого участника движения СПО.

В качестве примера преимуществ открытой модели разработки Джош рассказал об обнаруженной в конце девяностых годов уязвимости "ping of death", позволявшей инициировать крах компьютера через отправку специально оформленного ICMP-пакета. Ошибке был подвержен огромный спектр продуктов, от операционных систем, до маршрутизаторов и принтеров. В Linux проблема была устранена через 2 часа после публикации сообщения об уязвимости, в то время как поставщики проприетарных решений затратили на подготовку и распространение исправления дни, недели и даже месяцы.