В последние месяцы для сообщества open-source прозвучал тревожный сигнал.

В то время как Microsoft проводит ревизию исходного кода Windows, взяв курс на повышение безопасности своего ПО, одно за другим появляются сообщения о трех серьезных пробелах в защите программ open-source, обычно поставляемых вместе с ОС Linux. Эти баги, подрывающие безопасность компьютеров, побудили некоторых разработчиков призвать сообщество open-source к более внимательному анализу своего популярного кода. Но хуже всего то, что на большинство членов сообщества эти призывы не подействовали.

«Контролем никто не занимается, — говорит главный специалист Linux-компании WireX Communications Криспин Коуэн (Crispin Cowan). — Экспертиза старого кода — трудоемкая и нудная работа, выполнять которую никого не заставишь». Коуэн основал веб-сайт Sardonix, который позволяет организованным группам программистов проверять крупные приложения open-source.

Когда Microsoft откликнулась на критику своей инициативой, появились опасения, что теперь ПО open-source в глазах общественного мнения будет выглядеть менее надежным. В этом году для подобных опасений было несколько причин.

В феврале баг, обнаруженный в языке сценариев РНР, сделал потенциально уязвимыми для атак целых 9 млн веб-сайтов. Правда, число действительно уязвимых сайтов, возможно, не превышает 100 тыс., да и лазейкой воспользоваться очень трудно. Однако этот баг очень напоминает ошибку в веб-ПО Microsoft, сделавшую серверы уязвимыми для вируса Code Red. В марте другой баг, обнаруженный в вездесущей библиотеке компрессии Zlib, сделал потенциально уязвимыми для атак все Linux-системы, хотя до сих пор ни одной программы, использующей эту лазейку, так и не появилось. А совсем недавно выявлена ошибка программы шифрования сообщений OpenSSH, повсеместно используемой для защиты коммуникаций между Linux-компьютерами, также оставляющая многие из таких машин беззащитными перед злоумышленниками.

Этот поток сообщений об ошибках не остался без ответа со стороны наиболее активных членов сообщества open-source. «Я вижу, что создается много некачественного ПО, — сказал основатель и руководитель проекта OpenBSD Тео де Раадт (Theo de Raadt). — Из-за разных политических причин и своей инертности программисты не вносят изменений, которые улучшили бы их программы».

Теория «множества глаз»

Разработчики ПО open-source утверждают, что, так как доступ к коду есть у каждого, он постоянно проверяется на наличие ошибок и исправляется. А благодаря тому что в сообществе open-source аккумулирован значительный опыт, программисты, владеющие определенными специальными знаниями, могут обнаруживать и исправлять трудные для понимания, «глубинные» ошибки, которые другие могли упустить.

В своем эссе «Храм и базар» о движении open-source разработчик Эрик Реймонд (Eric Raymond) писал: «Множество глаз позволяет замечать любые ошибки». Де Раадт нацеливает команду разработчиков OpenBSD именно на такой контроль, чистку кода Unix-подобной операционной системы и замену функций, оказавшихся ненадежными, более безопасными аналогами.

И все же в реальности теория «множества глаз», как ее называют в мире open-source, работает недостаточно хорошо. «Не факт, что в код действительно всматривается множество глаз, — говорит Коуэн из WireX. — На самом деле достаточно внимания уделяется лишь особо выдающемуся коду, к которому все стремятся приложить руку, в то время как на остающиеся в тени остальные 90% кода никто, кроме его автора, не обращает внимания». А именно этот малопривлекательный код и составляет основу Linux.

Коуэн надеется, что его сайт Sardonix станет центром аудиторских усилий, но пока Linux и ПО open-source остается уповать на чувство ответственности разработчиков, заставляющее их взвалить на себя тяжелый труд по вылавливанию багов в исходном коде. Когда обнаружилась ошибка в языке сценариев PHP, группа программистов решила досконально проверить код этого популярного проекта. «Трудно одновременно работать над новыми функциями и проверять существующий код, — говорит Фрэнк Денис (Frank Denis), системный администратор французского интернет-сервис-провайдера и руководитель проекта по проверке кода РНР. — Поэтому мы стараемся сосредоточиться только на экспертизе. Мы не добавляем никаких новых функций, а лишь исправляем те места, которые могут оказаться потенциально опасными».

По мнению Дениса, централизованный процесс поиска багов, такой как инициатива Microsoft Trustworthy Computing, в случае ПО open-source результата не даст. «Чтобы проникнуть в чужой сервер, умельцы прибегают к немыслимым нестандартным трюкам, которые невозможно предвидеть и учесть в какой бы то ни было процедуре предварительной проверки, — говорит он. — Наш дифференцированный подход обеспечивает более широкую проверку, чем любые строгие инструкции. В этом преимущество открытого ПО: каждый может заложить в стену собственный кирпич».

Полировка ПО

Несмотря на проблему безопасности в коде его собственного проекта, Жан Лу Галли (Jean-loup Gailly), главный архитектор ПО компании Vision IQ и соавтор библиотеки компрессии Zlib, уверяет, что процесс разработки Linux все же позволяет создавать более надежный код. «К проблемам в программах open-source относятся гораздо внимательнее, чем в программах с закрытым исходным кодом, и исправляют их гораздо быстрее, — говорит он. — Apache значительно реже, чем Microsoft IIS, упоминается в связи с инцидентами, и одна из причин этого в том, что код Apache надежнее». Дополнительный слой полировки наносят на исходный код такие компании и организации, как Red Hat и Debian, которые формируют собственные дистрибутивы Linux.

По мнению Линуса Торвалдса, старшего инженера компании Transmeta и создателя ядра Linux, подход разработки open-source пока работает хорошо. «До сих пор проверка кода в основном осуществлялась в процессе его изучения, часто совсем по другим причинам, не имеющим ничего общего с формальной экспертизой, — говорит он. — Лично меня это устраивает, и на практике такой подход работает довольно хорошо». Торвалдс не видит угрозы в изменении отношения Microsoft к вопросам безопасности, считая этот шаг доказательством слабой степени защищенности ее ПО: «Microsoft объявила свою инициативу потому, что у них дела с защитой в целом весьма плохи. Они исправляют ошибки, когда случается какой-нибудь сильный конфуз. Результатом частых конфузов и являются подобные „инициативы” — будь то в политике или в бизнесе ПО. В сообществе open-source пока все очень хорошо саморегулируется, без каких бы то ни было конфузов. Бывают ли ошибки? Конечно. Но можно ли обнаружить их и исправить, не дожидаясь, пока новый вирус отнимет у пользователей время на миллиард долларов? Можете в этом не сомневаться».

	Библиотека Интернет Индустрии I2R.ru	Малобюджетные сайты... Продвижение веб-сайта... Контент и авторское право...
Забобрить! Блог		Поиск:	Рассылки для занятых...»

Библиотека Интернет Индустрии I2R.ru

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Можно ли положиться на open-source?