Библиотека Интернет Индустрии I2R.ru |
|||
|
Можно ли положиться на open-source?23.03.2002 07:18 В последние месяцы для сообщества open-source прозвучал тревожный сигнал. В то время как Microsoft проводит ревизию исходного кода Windows, взяв курс на повышение безопасности своего ПО, одно за другим появляются сообщения о трех серьезных пробелах в защите программ open-source, обычно поставляемых вместе с ОС Linux. Эти баги, подрывающие безопасность компьютеров, побудили некоторых разработчиков призвать сообщество open-source к более внимательному анализу своего популярного кода. Но хуже всего то, что на большинство членов сообщества эти призывы не подействовали. «Контролем никто не занимается, — говорит главный специалист Linux-компании WireX Communications Криспин Коуэн (Crispin Cowan). — Экспертиза старого кода — трудоемкая и нудная работа, выполнять которую никого не заставишь». Коуэн основал веб-сайт Sardonix, который позволяет организованным группам программистов проверять крупные приложения open-source. Когда Microsoft откликнулась на критику своей инициативой, появились опасения, что теперь ПО open-source в глазах общественного мнения будет выглядеть менее надежным. В этом году для подобных опасений было несколько причин. В феврале баг, обнаруженный в языке сценариев РНР, сделал потенциально уязвимыми для атак целых 9 млн веб-сайтов. Правда, число действительно уязвимых сайтов, возможно, не превышает 100 тыс., да и лазейкой воспользоваться очень трудно. Однако этот баг очень напоминает ошибку в веб-ПО Microsoft, сделавшую серверы уязвимыми для вируса Code Red. В марте другой баг, обнаруженный в вездесущей библиотеке компрессии Zlib, сделал потенциально уязвимыми для атак все Linux-системы, хотя до сих пор ни одной программы, использующей эту лазейку, так и не появилось. А совсем недавно выявлена ошибка программы шифрования сообщений OpenSSH, повсеместно используемой для защиты коммуникаций между Linux-компьютерами, также оставляющая многие из таких машин беззащитными перед злоумышленниками. Этот поток сообщений об ошибках не остался без ответа со стороны наиболее активных членов сообщества open-source. «Я вижу, что создается много некачественного ПО, — сказал основатель и руководитель проекта OpenBSD Тео де Раадт (Theo de Raadt). — Из-за разных политических причин и своей инертности программисты не вносят изменений, которые улучшили бы их программы». Теория «множества глаз» Разработчики ПО open-source утверждают, что, так как доступ к коду есть у каждого, он постоянно проверяется на наличие ошибок и исправляется. А благодаря тому что в сообществе open-source аккумулирован значительный опыт, программисты, владеющие определенными специальными знаниями, могут обнаруживать и исправлять трудные для понимания, «глубинные» ошибки, которые другие могли упустить. В своем эссе «Храм и базар» о движении open-source разработчик Эрик Реймонд (Eric Raymond) писал: «Множество глаз позволяет замечать любые ошибки». Де Раадт нацеливает команду разработчиков OpenBSD именно на такой контроль, чистку кода Unix-подобной операционной системы и замену функций, оказавшихся ненадежными, более безопасными аналогами. И все же в реальности теория «множества глаз», как ее называют в мире open-source, работает недостаточно хорошо. «Не факт, что в код действительно всматривается множество глаз, — говорит Коуэн из WireX. — На самом деле достаточно внимания уделяется лишь особо выдающемуся коду, к которому все стремятся приложить руку, в то время как на остающиеся в тени остальные 90% кода никто, кроме его автора, не обращает внимания». А именно этот малопривлекательный код и составляет основу Linux. Коуэн надеется, что его сайт Sardonix станет центром аудиторских усилий, но пока Linux и ПО open-source остается уповать на чувство ответственности разработчиков, заставляющее их взвалить на себя тяжелый труд по вылавливанию багов в исходном коде. Когда обнаружилась ошибка в языке сценариев PHP, группа программистов решила досконально проверить код этого популярного проекта. «Трудно одновременно работать над новыми функциями и проверять существующий код, — говорит Фрэнк Денис (Frank Denis), системный администратор французского интернет-сервис-провайдера и руководитель проекта по проверке кода РНР. — Поэтому мы стараемся сосредоточиться только на экспертизе. Мы не добавляем никаких новых функций, а лишь исправляем те места, которые могут оказаться потенциально опасными». По мнению Дениса, централизованный процесс поиска багов, такой как инициатива Microsoft Trustworthy Computing, в случае ПО open-source результата не даст. «Чтобы проникнуть в чужой сервер, умельцы прибегают к немыслимым нестандартным трюкам, которые невозможно предвидеть и учесть в какой бы то ни было процедуре предварительной проверки, — говорит он. — Наш дифференцированный подход обеспечивает более широкую проверку, чем любые строгие инструкции. В этом преимущество открытого ПО: каждый может заложить в стену собственный кирпич». Полировка ПО Несмотря на проблему безопасности в коде его собственного проекта, Жан Лу Галли (Jean-loup Gailly), главный архитектор ПО компании Vision IQ и соавтор библиотеки компрессии Zlib, уверяет, что процесс разработки Linux все же позволяет создавать более надежный код. «К проблемам в программах open-source относятся гораздо внимательнее, чем в программах с закрытым исходным кодом, и исправляют их гораздо быстрее, — говорит он. — Apache значительно реже, чем Microsoft IIS, упоминается в связи с инцидентами, и одна из причин этого в том, что код Apache надежнее». Дополнительный слой полировки наносят на исходный код такие компании и организации, как Red Hat и Debian, которые формируют собственные дистрибутивы Linux. По мнению Линуса Торвалдса, старшего инженера компании Transmeta и создателя ядра Linux, подход разработки open-source пока работает хорошо. «До сих пор проверка кода в основном осуществлялась в процессе его изучения, часто совсем по другим причинам, не имеющим ничего общего с формальной экспертизой, — говорит он. — Лично меня это устраивает, и на практике такой подход работает довольно хорошо». Торвалдс не видит угрозы в изменении отношения Microsoft к вопросам безопасности, считая этот шаг доказательством слабой степени защищенности ее ПО: «Microsoft объявила свою инициативу потому, что у них дела с защитой в целом весьма плохи. Они исправляют ошибки, когда случается какой-нибудь сильный конфуз. Результатом частых конфузов и являются подобные „инициативы” — будь то в политике или в бизнесе ПО. В сообществе open-source пока все очень хорошо саморегулируется, без каких бы то ни было конфузов. Бывают ли ошибки? Конечно. Но можно ли обнаружить их и исправить, не дожидаясь, пока новый вирус отнимет у пользователей время на миллиард долларов? Можете в этом не сомневаться». Роберт Лемос последние новости 01.02.2013 15:18 | Интернет и малые предприятия...» 22.01.2013 13:30 | Провал с планшетом от Microsoft...» 27.11.2012 13:14 | Ключ к лучшему софту для вас!...» 22.11.2012 14:39 | Выбор домашнего компьютера...» 16.11.2012 15:17 | Старый знакомый - Dr. Web...» 04.04.2012 13:35 | Как играть в игровые автоматы и как они устроены...» 04.04.2012 13:08 | Интернет-вклады набирают популярность...» 21.03.2007 17:33 | Вышел 3-й номер Юзабилити Бюллетеня...» 16.03.2007 00:16 | Индивидуальное обучение поисковому продвижению...» 15.03.2007 19:16 | Анонс места проведения PHPCONF 2007...» 14.03.2007 17:21 | Спонсоры конференции PHPCONF 2007...» 14.03.2007 00:29 | Аккредитация журналистов на участие в конференции «РИТ-2007» началась ...» 07.03.2007 12:12 | ЦБ обяжет аудиторов раскрывать банковскую тайну ...» 04.03.2007 20:30 | «1С» и «Битрикс» создают совместную компанию «1С–Битрикс»...» 01.03.2007 18:42 | Adobe выпустит Creative Suite 3 в конце марта...» 01.03.2007 17:44 | Oracle намерена приобрести Hyperion Solutions за $3,3 млрд ...» 28.02.2007 17:15 | Google улучшает систему уведомлений веб-мастеров...» 28.02.2007 16:09 | Adobe выпустит средства для редактирования видео в интернете...» 27.02.2007 19:29 | Большие ИТ-компании обещают возможности Web 2.0...» 27.02.2007 16:35 | Page Promoter 7.5: глобальная платформа для анализа, продвижения и управления ресурсом...» |
|
2000-2008 г. Все авторские права соблюдены. |
|