Sicherheit der Zukunft gehört Open Source

Die Öffentlichkeit war mit mir in meiner Argumentation, dass Heartbleed nicht beweisen, das Open-Source-Entwicklungsmodell war unsicher, aber der Richter Regeln gegen mich. Eh, ich bin nicht verletzt. Mehr als Leser stimmen mit mir überein, fast alle Technik stimmt mit mir überein.

Sie sehen, während Heartbleed war, Open-Source-schlechter Sicherheitsstunden, es war ein Ausnahmefall. Außerhalb von Apple und Microsoft, jeder und ich meine so ziemlich jeder, hat bereits beschlossen, dass Open Source ist, wie sie entwickeln und sichern ihre Software. Google, Facebook, Yahoo, Wikipedia, Twitter, Amazon, wissen Sie alle Alexa’s Top Ten Websites in der Welt, verlassen sich auf Open-Source-Software jeden Tag des Jahres.

Sie tun es, weil Eric S. Raymond hatte Recht, wenn er schrieb in dem Aufsatz, der Open Source begann, “The Cathedral and the Bazaar”, dass “Angesichts genug Augäpfel, alle Bugs sind flach.

Das Problem mit, Heartbleed, war, dass niemand-nein, nicht einmal die NSA;-Blick auf den Code. Der Fehler war nicht mit der Open-Source-Methode, es war, dass niemand es für die Anwendung auf OpenSSL belästigt.

Der Beweis, dass Open Source, richtig angewendet, sicher ist, ist verfügbar. Studien, wie die vor kurzem von Coverity, haben festgestellt, dass, Open-Source-Programme haben weniger Fehler pro tausend Zeilen Code als seine proprietären Brüder. Und es ist schwer zu ignorieren, die Communications-Electronics Security Group (CESG), die Gruppe innerhalb der britischen Regierung Communications Headquarters (GCHQ), die Betriebssysteme und Software für Sicherheitsfragen beurteilt, wenn sie sagten, dass, während kein Endbenutzer-Betriebssystem So sicher wie sie es möchten, Ubuntu 12.04 ist der sicherste Desktop.

Auf der anderen Seite, die bloße Existenz von Microsoft monatlichen Patch Dienstag sagt, dass die meisten von uns wissen müssen, wie “sichere” proprietäre Software ist. Ich kann auch nicht umhin zu bemerken, wie jedes Mal, wenn Microsoft veröffentlicht eine neue Version von Internet Explorer (IE), sie immer behaupten, es ist die sicherste aller Zeiten. Und dann, ein neues Loch gefunden wird, und erraten, was, dass, das gleiche Sicherheitsloch ist in jeder Version von IE von IE 6 bis IE 11. Wenn IE wirklich umgeschrieben, um es sicher zu machen, warum sind die gleichen Löcher zeigt In Jede Version?

Mein würdiger Gegner denkt, dass Open-Source-Projekte nicht über ausreichende Finanzierung oder Management. Angesichts Adobe, Apple und Microsoft Security Track-Record hat einen Monat vorbei in Jahren ohne große Sicherheitslücken auftauchen für die großen proprietären Software-Unternehmen? Ich sehe nicht, wie traditionelles Management ihnen geholfen hat.

Das ist nicht zu unterstreichen das Heartbleed Problem. Es war eine Katastrophe. Es geschah, weil OpenSSL unterfinanziert war. Es gab einfach nicht genug Leute auf dem Job, um den Job zu machen, und alle nur davon ausgegangen, dass, weil der Code Open Source war es irgendwie magisch immun gegen Fehler. Das ist reine Torheit und wir haben den Preis dafür bezahlt, dass über die Hälfte der weltweiten Websites anfällig für Heartbleed ist. Diesen Fehler machen wir nicht mehr.

Lassen Sie uns sagen, dass OpenSSL, wie IE, ist tödlich fehlerhaft. Ich glaube es nicht, aber sagen, es ist. Na und? In der Open-Source-Welt jemand fordert nur den Code und kommt mit einer besseren Version. Das ist genau das, was OpenBSD mit ihrem LibreSSL gemacht hat. Mit Open-Source-Software sind Sie nicht in einer Firma “sichere” Lösung gesperrt. Wenn jemand nicht liefert die Sicherheitswaren Sie wollen, kann jemand anderes, und wird in der Regel, kommen mit einem besseren Programm.

Setzen Sie es zusammen und die Tatsachen zeigen, dass, wenn es richtig gemacht wird, ist Open Source der beste Weg, nicht nur um Software zu entwickeln, sondern um sichere Software zu erstellen. Es ist nur in diesen Eckfällen, wie OpenSSL mit Heartbleed, wo ein Programm beliebt und unterfinanziert ist, dass es die reale Möglichkeit eines großen Sicherheitsproblems gibt.

Genau wie Tod und Steuern werden wir immer Sicherheitsprobleme haben. Aber, wie der Datensatz bereits zeigt, ist im Durchschnitt Open-Source-Programmierung der beste Weg, um Sicherheitsprobleme zu verhindern.

 Geschichten

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Star Trek: 50 Jahre positive Futurismus und fett sozialer Kommentar, Microsoft Surface All-in-One-PC, sagte zu der Schlagzeile Hardware Start Oktober, Hände auf dem iPhone 7, neue Apple-Uhr, und AirPods; Google kauft Apigee für $ 625.000.000

Heartfuled: Das Open-Source-Entwicklungsmodell ist gebrochen, Cash, die Core Infrastructure Initiative und Open Source-Projekte Heartbleed: Die schlimmste Stunde der offenen Quelle Heartbling: Ernsthafte OpenSSL-Zero-Day-Schwachstelle enthüllt Coverity findet Open-Source-Softwarequalität besser als proprietärer Code

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter