Warum ist Open Source Software sicherer?

Warum ist Open Source Software sicherer?

Open-Source-Software hat seit langem den Ruf, sicherer zu sein als ihre Closed-Source-Software. Aber was macht Open Source-Software sicherer? Ein Redditor hat diese Frage kürzlich gestellt und einige interessante Antworten erhalten.

Parasymphatetic stellte seine Frage im Linux-Subreddit:

Es gibt also ein allgemeines Argument dafür, dass Linux und Open Source-Software sicherer sind als ihre Windows-Gegenstücke. Als Open Source- und Linux-Neuling habe ich folgende Frage: Wie?

Woher wissen Sie, dass das kompilierte Programm, das Sie herunterladen, genau dem Quellcode entspricht, den sie bereitgestellt haben? Und überprüft tatsächlich jemand zehntausende von Codezeilen, die von jemandem bereitgestellt wurden? Machst du?

Und vertrauen Sie den Mitarbeitern von Valve und Blender nicht genauso wie den verpönten Windows-Benutzern, die Microsoft vertrauen?

Mehr bei Reddit

Seine Linux-Redditoren antworteten mit ihren Gedanken darüber, warum Open Source-Software sicherer ist:

Bushwacker: „Es steht alles zur Inspektion zur Verfügung. Sie können den Code einschließlich des Kernels selbst erstellen. Nun zu Hintertüren in Compilern, das ist eine andere Geschichte. “

AiwendilH: „Es ist nicht so, dass OpenSource-Software notwendigerweise besser entwickelt ist. Es ist so, dass es ohne den Quellcode unmöglich ist zu sehen, was ein Programm tut. OpenSource-Software wird daher als sicherer angesehen, da sie die einzige Art von Software ist, die überhaupt auf Sicherheit überprüft werden kann, ohne blind jemandem vertrauen zu müssen. Alles, was nicht Open-Source ist, kann nicht überprüft werden und muss daher gesehen werden als unsicher. "

Daemonpenguin: „Open Source ist nicht automatisch sicherer als Closed Source. Der Unterschied besteht darin, dass Sie mit Open Source-Code selbst überprüfen können (oder jemanden bezahlen können, der für Sie überprüft), ob der Code sicher ist. Bei Closed-Source-Programmen müssen Sie darauf vertrauen, dass ein Teil des Codes ordnungsgemäß funktioniert. Open Source ermöglicht es, den Code zu testen und zu verifizieren, damit er ordnungsgemäß funktioniert.

Open Source ermöglicht es jedem, fehlerhaften Code zu reparieren, während Closed Source nur vom Anbieter repariert werden kann.

Mit der Zeit bedeutet dies, dass Open Source-Projekte (wie der Linux-Kernel) tendenziell sicherer werden. Immer mehr Menschen testen und reparieren den Code.

Jeder, der eine allgemeine Aussage wie "Open Source Software ist sicherer" macht, ist falsch. Was sie sagen sollten ist: "Open Source Software kann geprüft und repariert werden, wenn ihr Verhalten oder ihre Sicherheit zweifelhaft sind."

Überprüft jemand den Code? Viele Leute tun dies, insbesondere bei größeren Projekten wie Linux, der C-Bibliothek, Firefox usw. Muss ich? Normalerweise nein, aber ich habe einige Audits an Code durchgeführt, den ich ausgeführt habe, um sicherzustellen, dass er ordnungsgemäß funktioniert.

Normalerweise vertraue ich Microsoft, Valve oder einer anderen Closed-Source-Software nicht. Und ich vertraue normalerweise nur Open-Source-Projekten, die in Bezug auf Sicherheit proaktiv waren. “

Toemme: "Derzeit versucht Debian, ihre Pakete reproduzierbar zu erstellen [1], sodass Sie überprüfen können, ob die Binärdatei, die Sie erhalten, wirklich aus dem Quellcode erstellt wurde, den sie Ihnen zeigen."

Eingaica: „Die meisten (wenn nicht alle) Binärdistributionen kompilieren Software und verwenden keine vorkompilierten Binärdateien, die von den Entwicklern bereitgestellt werden. Zumindest ist dies bei Free / Open Source-Software der Fall. Ob Sie darauf vertrauen können, dass die Binärdateien, die Sie von Ihrer Distribution erhalten, mit denen identisch sind, die Sie beim Kompilieren erhalten würden, ist ein anderes Problem (siehe z. B. Debians Projekt für reproduzierbare Builds). “

OMGTokin: ”... es ist wahr, dass Sie Binärdateien installieren und viel Vertrauen in Upstream setzen. Ziemlich bald, wie andere erwähnt haben, wird es reproduzierbare Builds geben, aber zum Glück hat die meiste Software, die Sie installieren, ein Git-Repository, mit dem Sie Quellcode abrufen können, um sich selbst zu kompilieren und zu kompilieren. “

Sendme: „Das Ausmaß der Paranoia, von dem Sie sprechen, ist ziemlich weit draußen. Das Problem mit Closed-Source-Software in Bezug auf die Sicherheit besteht darin, dass nur wenige Personen den Quellcode anzeigen und versuchen können, ihn zu beheben. FOSS hat viel mehr Entwickler, die sich den Code so hoffentlich ansehen, dass sich mehr Bugfixes ergeben. “

Tymanthius: „Hier ist die Sache, wenn Sie nicht mehrere Ebenen tief sichern wollen, um Compiler zu erstellen, müssen Sie anfangen, irgendwo zu vertrauen. Es gibt auch die einfache Tatsache, dass die meisten von uns einfach nicht so wichtig / interessant sind, um sie auszuspionieren. “

Justcs: "Die Lizenz bestimmt nicht die Codequalität."

Whotookmynick: ”... Sie können keiner großen Menge an Code für einen anderen vertrauen, Sie können Tools wie Wireshark, Strace usw. verwenden.

Apple und MS (und Valve) sind in den USA ansässige Unternehmen. Wenn ihre Regierung ihnen also sagt, dass sie etwas tun sollen, müssen sie sich daran halten. Eine andere Sache ist die deutsche Regierung, die tatsächlich legal Trojaner herstellt.

Was die persönliche Sicherheit darüber hinaus betrifft, filtert Ihr Router die meisten Bedrohungen heraus, es sei denn, Ihr Computer öffnet einen Port selbst. Sie sollten in Ordnung sein unter Linux / bsd X kann einen öffnen, sshd öffnet einen, vnc, skype / irc / was auch immer, aber sie haben Schwachstellen über eine Verbindung ausnutzen zu können “

Mehr bei Reddit