O software de código aberto é seguro?

18 de julho de 2021

Sendo alguém que prefere Linux para o desktop e incentiva a utilização de software de código aberto, você pode esperar a resposta à pergunta feita no título com um grande “Sim”.

Mas eu não vou me limitar adiscutir os benefícios do software de código aberto. Vamos explorar mais!

Aqui, eu pretendo compartilhar meus pensamentos sobre se o software de código aberto é seguro e quais são as coisas envolvidas nele que o tornam seguro ou inseguro.

Por que você deve se importam se software de código aberto é seguro?

Não importa se você usar Linux ou qualquer outro sistema operacional, você será cercado com software de código aberto, de alguma forma (direta/indireta).

Para lhe dar um exemplo, a maioria das ferramentas de software proprietário dependem de alguma forma de bibliotecas de código aberto para fazer as coisas funcionarem.

Além disso, há uma razão por que as empresas de várias escalas (incluindo Google, Microsoft e Facebook) confiam no software de código aberto ou contribuem com seus recursos para a comunidade de código aberto, de uma forma ou de outra.

Assim, a segurança de software de código aberto é algo essencial de saber.

Mitos sobre segurança do software de código aberto

hackers

Embora existam vários argumentos para lançar os contras do software de código aberto em termos de segurança, alguns deles simplesmente não faz qualquer sentido.

Qualquer um pode ver e explorar o código

O código é acessível a todos, sim. Mas só porque você pode ver o código, significa que qualquer pessoa pode explorá-lo?

Na verdade não.

Mesmo que qualquer um possa criar um fork (ou cópia) do software, o software original não pode ser manipulado facilmente.

Normalmente, o mantenedor do projeto (ou um grupo deles) gerencia o repositório de código e aceita os commits de contribuidores. O código é revisado antes da aprovação. E ninguém pode roubar o código.

É preciso esforço para um atacante explorar uma vulnerabilidade ou adicionar código malicioso em um software, não importa se é de código aberto ou código fechado.

Sem recursos dedicados, a segurança é pouca

Muitos acreditam que, sem funcionários dedicados ou uma equipe para um software de código aberto, é difícil manter a segurança.

Em contraste, com vários tipos de contribuidores entrando e saindo, o software recebe mais atenção a partir de uma ampla gama de desenvolvedores.

E eles podem ser capazes de detectar problemas de segurança melhor do que alguns funcionários dedicados para um software proprietário.

Alguns projetos como os da Mozilla tem uma equipe dedicada para atacar de forma eficaz as questões de segurança. Da mesma forma, a maioria dos bem sucedidos projetos de código aberto têm abundância de recursos para dedicar para a segurança.

Assim, o ecossistema de software de código aberto é um pacote misto para a segurança. Mesmo sem recursos dedicados, os projetos obtém ajuda de vários colaboradores, e alguns são rentáveis, em grande medida que os ajuda a dedicar mais recursos.

Software de código aberto é seguro: veja como

De segurança de código aberto

Agora que abordamos os mitos, deixe-me destacar como o software de código aberto lida com questões de segurança.

Em outras palavras, os benefícios em segurança com software de código aberto.

Não se esqueça, as vantagens de software de código aberto se traduzem em algumas das razões pelas quais Linux é melhor do que o Windows.

Mais olhos olhando para o código

Ao contrário de um software proprietário, o acesso ao código não se limita a alguns desenvolvedores.

Alguns projetos podem até ter milhares de desenvolvedores de olho no código, revisando, e sinalizando ou corrigindo problemas de segurança.

E isso dá uma vantagem sobre software de código fechado por ter a capacidade de identificar problemas rapidamente e resolvê-los o mais rápido possível.

Não apenas limitado para mais desenvolvedores, muitas vezes as empresas se envolvem com projetos de código aberto que eles utilizam. E quando o fazem, eles também percorrem o código e o revisam.

Isto dá outra fonte de auditoria externa que pode ajudar a melhorar a segurança do software.

Em contraste, com um software de código fechado, um número limitado de desenvolvedores podem não ser capaz de encontrar todos os tipos de problemas de segurança. E isso pode levar mais tempo para corrigir todos os problemas um a um.

Tomada de decisão da comunidade que priorizam a segurança

Os desenvolvedores de um software de código fechado podem ter certas restrições e prioridades como o que e quando trabalhar para resolver um problema.

No entanto, no caso de um projeto de código aberto, a comunidade de contribuintes pode priorizar e atribuir o que eles querem para o trabalho e quando para corrigir um problema. Você não precisa depender de um fornecedor ou seguir as instruções para resolver um problema de segurança.

A tomada de decisão para tratar e corrigir os problemas de segurança é mais transparente e flexível no caso de um software de código aberto. Assim, ele pode revelar-se mais eficaz deixando-o com três benefícios específicos:

  • Transparência
  • Sem dependência do fornecedor
  • Atualizações de segurança mais rápidos

Software de código aberto não é à prova de balas: aqui está o porquê

De segurança de código aberto

Embora existam casos em que software de código aberto pode obter uma vantagem para a segurança, pode haver instâncias ou fatores que o afetam.

É importante reconhecer que estes problemas existem, por conseguinte, uma empresa ou um indivíduo pode fazer a melhor decisão sobre o estado de segurança de um software de código aberto.

Sem olhos suficientes para a revisão de código e incerteza

Mesmo se o código está acessível ao mundo de desenvolvedores, há chances de que um projeto não tenha suficiente contribuintes/desenvolvedores para rever cuidadosamente o código.

Nesse caso, não podemos ter uma grande confiança que um software de código aberto esteja sendo revisto por pares, porque carece exatamente disso.

O software de código aberta pode “reivindicar” ter a melhor segurança só porque seu código fonte é aberto, o que é enganoso quando não há desenvolvedores suficientes trabalhando nisso.

Além disso, não sabemos quantos desenvolvedores estão procurando/revisando o código e como exatamente o código está sendo desenvolvido.

Por exemplo, o bug heartbleed foi flagrado após 2 anos de sua introdução em um projeto que já era popular, OpenSSL.

Responsabilidade ou prestação de contas do software

Isto pode não ser importante para os indivíduos, mas um software de código aberto muitas vezes vem sem garantias.

Assim, se uma empresa o utiliza, eles devem assumir a responsabilidade de quaisquer perdas ou danos causados pelo uso desse software.

Isso é algo que lhe diz que nada pode ser 100% seguro e livre de bugs. Não importa quantos olhos você tem em um código, ou quão hábeis os contribuintes são, haverá riscos de alguma forma, seja de segurança ou perda de dados.

E isso nos leva ao fato de que o software de código aberto não é à prova de balas.

Codigo aberto pode ter seu caminho para uma melhor segurança, mas...

Nada é superior quando se trata de segurança. Não importa se é de código fechado ou de código aberto, o mesmo conjunto de princípios se aplicam quando se trata de segurança.

Existem vários fatores externos que podem afetar a segurança de um software, e muitos desses não dependem da natureza do código.

O código deve ser monitorado na mesma maneira que se mantém outras coisas seguras.

Sim, a abordagem de código aberto introduz benefícios que software de código fechado nunca terá, mas isso não significa que é à prova de balas.

O que você acha sobre o estado de segurança quando se trata de software de código aberto? Você acha que é superior a soluções proprietárias?

Gostaria muito de receber seus pensamentos valiosos nos comentários abaixo.

Confira também a versão original desse post em inglês
Esse post foi originalmente escrito por Ankush Das e publicado no site itsfoss.com. Traduzido pela rtland.team

Is Open-Source Software Secure?

Propaganda
Blog Comments powered by Disqus.
Propaganda