なぜオープンソースソフトウェアはより安全なのですか?

なぜオープンソースソフトウェアはより安全なのですか?

オープンソースソフトウェアは、クローズドソースソフトウェアよりも安全であるという評判が長い間ありました。しかし、オープンソースソフトウェアをより安全にするのは何ですか?redditorは最近その質問をし、いくつかの興味深い答えを得ました。

ParasymphateticはLinuxsubredditで彼の質問をしました:

したがって、Linuxとオープンソースソフトウェアは、対応するWindowsよりも安全であるという一般的な議論があります。さて、オープンソースで完全なLinux初心者として、私は次の質問をします:どうやって?

ダウンロードしたコンパイル済みプログラムが、提供されたソースコードとまったく同じであることをどうやって知っていますか?そして、誰かが提供した数万行のコードを実際にチェックする人はいますか?あなたは?

そして、WindowsユーザーがMicrosoftを信頼しているのと同じように、ValveとBlenderの人々にも同じ信頼を置いていませんか?

Redditの詳細

彼の仲間のLinuxredditorsは、オープンソースソフトウェアがより安全である理由についての考えで応えました。

ブッシュワッカー:「それはすべて検査に利用できます。カーネルを含め、自分でコードを作成できます。コンパイラのバックドアについては、別の話です。」

AiwendilH:「オープンソースソフトウェアが必ずしも優れた設計であるとは限りません...ソースコードがないと、プログラムの機能を確認することは不可能です。したがって、オープンソースソフトウェアは、誰かを盲目的に信頼する必要なしにセキュリティをチェックできる唯一の種類のソフトウェアであるため、より安全であると見なされます...オープンソースでないものはすべてチェックできず、これによって確認する必要があります安全ではありません。」

Daemonpenguin:「オープンソースはクローズドソースよりも自動的に安全ではありません。違いは、コードが安全かどうかを自分で確認できる(または誰かに確認してもらう)ことができるオープンソースコードとの違いです。クローズドソースプログラムでは、コードの一部が正しく機能することを確信する必要があります。オープンソースを使用すると、コードをテストして検証し、正しく機能することができます。

オープンソースでは誰でも壊れたコードを修正できますが、クローズドソースではベンダーのみが修正できます。

時間の経過とともに、これはオープンソースプロジェクト(Linuxカーネルなど)がより安全な人々になる傾向があり、より多くの人々がコードをテストおよび修正していることを意味します。

「オープンソースソフトウェアの方が安全だ」などの一般的な発言をする人は誰でも間違っています。彼らが言うべきことは、「オープンソースソフトウェアは、その動作やセキュリティが疑わしいときに監査して修正することができる」ということです。

誰かがコードをチェックしますか?多くの人が、特にLinux、Cライブラリ、Firefoxなどの大規模なプロジェクトでそうしています。通常はありませんが、実行中のコードに対していくつかの監査を行って、正しく機能することを確認しました。

私は通常、MicrosoftやValve、その他のクローズドソースソフトウェアを信頼していません。そして、私は通常、セキュリティに関して積極的なオープンソースプロジェクトのみを本当に信頼しています。」

Toemme:「現在Debianはパッケージを再現性よくビルドしようとしています[1]。そのため、取得したバイナリが実際に表示されているソースコードからビルドされているかどうかを確認できます。」

Eingaica:「ほとんどの(すべてではないにしても)バイナリディストリビューションはソフトウェアをコンパイルし、開発者が提供するコンパイル済みのバイナリを使用しません。少なくとも、フリー/オープンソースソフトウェアの場合はそうです。ディストリビューションから取得したバイナリが、自分でコンパイルした場合と同じであると信頼できるかどうかは別の問題です(たとえば、Debianの再現可能なビルドプロジェクトを参照してください)。

OMGTokin:」...バイナリをインストールし、アップストリームに多くの信頼を置いているのは事実です。他の人が言うとすぐに再現可能なビルドがありますが、幸いなことに、インストールするほとんどのソフトウェアにはgitリポジトリがあり、ソースコードをプルして自分でコンパイルすることができます。」

Sendme:「あなたが話しているパラノイアのレベルはかなり遠いです。セキュリティに関する限り、クローズドソースソフトウェアの問題は、ソースコードを表示して修正を試みることができるのはごく少数の人だけであるということです。FOSSには、コードを検討している開発者がたくさんいるので、うまくいけば、より多くのバグ修正が得られます。」

Tymanthius:」これが問題です。コンパイラを作成するためにいくつかのレイヤーを深くバックアップする場合を除いて、どこかで信頼を開始する必要があります。また、私たちのほとんどがスパイするのにそれほど重要でなく、興味がないという明白で単純な事実があります。」

Justcs:「ライセンスはコードの品質を決定するものではありません。」

Whotookmynick:」... wiresharkやstraceなどのツールを使用できる別のコードの大量のコードを信頼することはできません。

AppleとMS(およびvalve)は米国を拠点とする企業であるため、政府が何かをするように指示した場合は、従わなければなりません。もう1つは、実際にトロイの木馬を合法的に製造しているドイツ政府です。

それ以上の個人的なセキュリティに関しては、コンピュータがポート自体を開かない限り、ルーターはほとんどの脅威を除外します。linux/ bsd Xはポートを開くことができ、sshdはポートを開くことができます。vnc、skype / irc /接続を介して脆弱性を悪用できるようにする」

Redditの詳細