Quando le persone scelgono il software, la sicurezza è spesso in cima alle loro liste di priorità. E se non lo è, dovrebbe esserlo! Tuttavia, in genere si interrogano sulle differenze tra software chiuso e open source.
Quindi qual è la differenza tra open-source e closed-source? Il software open source è davvero sicuro?
Open Source vs. Software a sorgente chiusa
Le persone rendono il software open source disponibile gratuitamente a tutti. Il pubblico può utilizzarlo, copiarlo, modificarlo e ridistribuirlo. Inoltre, come suggerisce il nome, chiunque può vedere il codice sorgente.
Il software closed-source presenta un codice strettamente protetto che solo le persone autorizzate possono vedere o modificare. Il costo copre il diritto delle persone di utilizzarlo, ma solo entro i limiti del contratto di licenza per l'utente finale.
La visibilità open-source ha vantaggi e svantaggi per la sicurezza
La capacità di chiunque di vedere il codice sorgente offre importanti vantaggi per la sicurezza dell'open source. Lo sviluppo diventa uno sforzo comunitario a cui partecipano persone di tutto il mondo.
Ciò significa che gli errori vengono spesso individuati e risolti più velocemente che se solo un gruppo molto più piccolo di individui esaminasse il codice.
Tuttavia, gli hacker capitalizzare sull'accessibilità anche di codice open source. Potrebbero usarlo per pianificare attacchi o prendere nota delle vulnerabilità.
Gli sviluppatori con un genuino interesse nel miglioramento del software open source affrontano i problemi che trovano o almeno segnalano i problemi a qualcuno con le competenze per affrontarli. Chiunque abbia intenzioni maligne spera che le cose passino inosservate il più a lungo possibile.
Queste realtà fanno sì che i professionisti della sicurezza informatica avvertano che il software open source può mettere a rischio le organizzazioni. Un problema è che i criminali potrebbero vedere il codice e iniettarvi contenuti pericolosi. In alternativa, tali parti potrebbero prendere di mira le società che non hanno pratiche rigorose per scaricare patch software con frequenza sufficiente.
Poiché il software open source non ha un'autorità centrale che lo gestisca, è difficile per chiunque sapere quali versioni vengono utilizzate più spesso. I titoli potrebbero essere aggiornati così frequentemente che i team IT di un'organizzazione non si rendono conto di avere una vecchia versione con gravi problemi di sicurezza.
Le librerie software di terze parti comportano rischi per la sicurezza open source
Gli sviluppatori utilizzano spesso librerie software di terze parti per risparmiare tempo. Sono componenti riutilizzabili sviluppati da un'entità diversa dal provider originale. Un vantaggio è che consentono l'uso di codice pre-testato.
Le librerie più diffuse vengono testate in numerosi ambienti per un'ampia gamma di casi d'uso. La frequenza naturale di utilizzo significa che i bug vengono segnalati spesso. Tuttavia, ciò non significa necessariamente che le librerie software di terze parti abbiano una sicurezza superiore, anche quando si discute di quelle associate al software open source.
Uno studio ha scoperto che, in quasi l'80% dei casi, le librerie di terze parti per il software open source non vengono aggiornate dopo che gli sviluppatori le hanno aggiunte alle basi di codice. I ricercatori coinvolti nello studio hanno avvertito come la mancanza di aggiornamenti potrebbe avere effetti a catena.
Alcuni dei titoli software più recenti e ampiamente utilizzati si basano su librerie software di terze parti durante lo sviluppo. Un difetto potrebbe interessare tutti i prodotti associati a una libreria problematica. Un'altra scoperta preoccupante è che più di un quarto degli sviluppatori intervistati non era a conoscenza o non era sicuro di alcun processo formale utilizzato per selezionare le librerie di terze parti.
Relazionato: Che cos'è un exploit Zero Day e come funzionano gli attacchi?
Tuttavia, una conclusione positiva dello studio è stata che gli aggiornamenti software risolvono il 92 percento dei difetti nelle librerie software di terze parti. Inoltre, il 69% degli aggiornamenti richiede solo una modifica di versione minore o qualcosa di ancora meno esteso.
Ancora più promettente era che gli sviluppatori potevano correggere il 17% di questi difetti in un'ora. Ciò significa che affrontare questi problemi di libreria open source non è sempre estremamente dispendioso in termini di tempo o complicato.
In che modo la velocità di risoluzione dei bug influisce sulla sicurezza dell'open source
Uno di problemi principali con software obsoleto è che espone gli utenti al rischio di potenziali falle di sicurezza. In un mondo ideale, gli sviluppatori noterebbero e risolverebbero tutti i bug prima che il software raggiunga il pubblico. Questo è un obiettivo irrealistico, tuttavia.
L'opzione migliore è rilasciare le patch del software subito dopo che le vulnerabilità sono diventate evidenti. I ricercatori di sicurezza spesso avvisano i fornitori di software closed-source dei problemi che richiedono soluzioni rapide. Tuttavia, le persone che sviluppano questi prodotti seguono programmi di rilascio scelti dai superiori.
Inoltre, i decisori non danno sempre la priorità a tutte le vulnerabilità. Alcuni rimangono senza indirizzo per mesi o anni dopo l'identificazione iniziale. Un problema correlato è che molti sviluppatori lottano con carichi di lavoro eccessivi o squilibrati che possono limitare gravemente la loro capacità di correggere rapidamente i bug, anche con le migliori intenzioni.
Un altro sondaggio ha scoperto che il 38% degli sviluppatori trascorre un quarto del proprio tempo disponibile a correggere i bug del software. Circa il 26% degli intervistati ha affermato che l'attività richiede metà delle giornate lavorative. Un'altra scoperta illuminante è stata che il 32% degli sviluppatori impiega fino a 10 ore alla settimana per correggere i bug invece di scrivere codice.
Gli sviluppatori prendono numerose precauzioni per evitare di rilasciare codice problematico. Ad esempio, la copertura da Sentinella blu ha discusso di come un database sandbox fornisce una versione mirror dell'ambiente di produzione e qualsiasi modifica del ciclo di distribuzione corrente.
I professionisti dello sviluppo Web possono apprendere e testare le cose senza grandi conseguenze negative che colpiscono un intero team. Ma i bug continuano a verificarsi.
Poiché il software open source ha intere comunità di sviluppo che lavorano per migliorarlo, c'è un alto possibilità che qualcuno con le giuste competenze e disponibilità di orari possa prendere di mira un bug e ottenerlo fisso. Ciò può significare che le vulnerabilità note non rimangono irrisolte per tutto il tempo che potrebbero con un titolo software closed-source.
Le dipendenze del software esistono quando un sistema operativo si basa su un altro per funzionare. Quando si tratta di software open source, il ritmo veloce del cambiamento spesso rende difficile per gli sviluppatori capire se una qualsiasi delle loro dipendenze riguarda versioni obsolete.
Tuttavia, Google ha recentemente rilasciato uno strumento di visualizzazione basato sul Web chiamato Approfondimenti sull'open source per affrontare quel problema. Offre agli utenti una panoramica dei componenti associati a un pacchetto software.
Poiché le informazioni includono dettagli sulle dipendenze e le loro proprietà, i professionisti dello sviluppo hanno un'idea più chiara se il software open source obsoleto potrebbe causare problemi in seguito.
Oltre a guardare i grafici delle dipendenze, le persone possono utilizzare uno strumento di confronto che mostra come le diverse versioni dei pacchetti possono influenzare le dipendenze. A volte, uno più recente risolve un problema di sicurezza. Offrendo questo strumento, Google mira a rendere più facile per gli sviluppatori diventare più consapevoli di come utilizzano il software open source.
Avere questa nuova conoscenza potrebbe migliorare la sicurezza e l'usabilità complessiva.
Software open-source: non una soluzione di sicurezza totale
Questa panoramica mostra perché il software open source non è sempre la scelta più sicura rispetto al software closed source. Tuttavia, ci sono anche molte cose positive sul software open source.
Le persone che intendono utilizzarlo per motivi personali o all'interno delle proprie organizzazioni dovrebbero valutare i pro ei contro per prendere una decisione.
Cerchi app open source gratuite per Windows? Ecco alcuni dei migliori software che puoi installare.
Leggi Avanti
- Sicurezza
- Sicurezza online
- Open Source
Shannon è un creatore di contenuti con sede a Philly, PA. Scrive in ambito tecnologico da circa 5 anni dopo la laurea in informatica. Shannon è il caporedattore di ReHack Magazine e tratta argomenti come la sicurezza informatica, i giochi e la tecnologia aziendale.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Ancora un passo…!
Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.
