Quote:
Originariamente inviato da LMCH
Eppure il motivo per cui chi può usa software open source é la maggior robustezza.
Nel caso di software closed source la situazione é mediamente peggiore, per il semplice motivo che c'é meno gente che può dare un occhiata ai sorgenti.
E no, il codice open source non favorisce i blackhat, proprio perché rispetto al sw closed source é più probabile che qualcuno noti il problema e lo risolva oppure che faccia modifiche per migliorare qualcosa ed indirettamente elimini anche la vulnerabilità.
|
Quote:
Originariamente inviato da cdimauro
Mi pare che i casi di OpenSSH prima e di Log4J (e, sebbene in misura minore, Log4Shell) adesso dimostrino l'esatto contrario, invece.
|
E' una cosa che mi sono spesso chiesto anch'io. L'open source è analizzabile da tutti ma i bug di sicurezza vengono scoperti prima dagli hacker buoni o da quelli cattivi? Avendo a disposizione il codice sorgente è più facile correggere i bug ma forse è anche più facile sfruttarli?
Non è che forse dipende anche dalla difficoltà dei bug? Forse bug semplici vengono scoperti con una semplice occhiata (e quindi corretti in fretta) mentre bug complicati vengono scoperti solo se qualcuno ci si mette d'impegno settimane o mesi a cercare nel codice? Perché nel secondo caso allora forse gli hacker cattivi sono avvantaggiati dato che non fanno altro che cercarli e che forse numericamente più dei dei ricercatori di sicurezza? E probabilmente anche più motivati per i possibili guadagni.
E magari dipende anche dal tipo di bug? Forse certi tipi di bug si scoprono più (troppo) facilmente nell'open source che nel closed? Ma allora il closed potrebbe essere favorito perché certi bug non verranno mai scoperti?
Tutto molto IMHO. Queste sono solamente un paio di mie considerazioni ma non sono un bug-hunter quindi potrei aver anche detto delle fesserie. Però la questione mi sembra un po' spinosa.