Pourquoi les logiciels open source sont-ils plus sécurisés?

Pourquoi les logiciels open source sont-ils plus sécurisés?

Les logiciels open source ont depuis longtemps la réputation d'être plus sûrs que leurs homologues à code source fermé. Mais qu'est-ce qui rend les logiciels open source plus sûrs? Un rédacteur a récemment posé cette question et a obtenu des réponses intéressantes.

Parasymphatetic a posé sa question dans le subreddit Linux:

Il existe donc un argument courant selon lequel Linux et les logiciels open source sont plus sûrs que leurs homologues Windows. Maintenant, en tant que novice open source et total de Linux, j'ai la question suivante: comment cela?

Comment savez-vous que le programme compilé que vous téléchargez est exactement comme le code source qu'ils ont fourni? Et est-ce que quelqu'un vérifie réellement dix milliers de lignes de code fournies par quelqu'un? Le faites vous?

Et n'accordez-vous pas la même confiance aux employés de Valve et de Blender que les utilisateurs mal vus de Windows font confiance à Microsoft?

Plus sur Reddit

Ses collègues rédacteurs Linux ont répondu en expliquant pourquoi les logiciels open source sont plus sécurisés:

Bushwacker: «Tout est disponible pour inspection. Vous pouvez créer le code vous-même, y compris le noyau. Maintenant, à propos des portes dérobées dans les compilateurs, c'est une autre histoire. "

AiwendilH: «Ce n'est pas que les logiciels open source sont nécessairement mieux conçus ... c'est que sans le code source, il est impossible de voir ce que fait un programme. Ainsi, les logiciels open source sont considérés comme plus sécurisés car c'est le seul type de logiciel dont la sécurité peut être vérifiée sans avoir à faire confiance aveuglément à quelqu'un ... tout ce qui n'est pas open-source ne peut pas être vérifié et par là doit être vu comme peu sûr. »

Daemonpenguin: «L'open source n'est pas automatiquement plus sécurisé que le code source fermé. La différence est qu'avec le code open source, vous pouvez vérifier par vous-même (ou payer quelqu'un pour vérifier pour vous) si le code est sécurisé. Avec les programmes à code source fermé, vous devez croire qu'un morceau de code fonctionne correctement, l'open source permet au code d'être testé et vérifié pour fonctionner correctement.

L'open source permet également à quiconque de corriger du code cassé, tandis que le code source fermé ne peut être corrigé que par le fournisseur.

Au fil du temps, cela signifie que les projets open source (comme le noyau Linux) ont tendance à devenir des personnes plus sécurisées, plus de personnes testent et corrigent le code.

Quiconque fait une déclaration générale comme «les logiciels open source sont plus sûrs» se trompe. Ce qu'ils devraient dire, c'est que «les logiciels open source peuvent être audités et corrigés lorsque son comportement ou sa sécurité est mis en doute».

Quelqu'un vérifie-t-il le code? Beaucoup de gens le font, en particulier sur des projets plus importants comme Linux, la bibliothèque C, Firefox, etc. Habituellement non, mais j'ai fait quelques audits sur le code que j'exécutais pour m'assurer qu'il fonctionnait correctement.

Je ne fais généralement pas confiance à Microsoft, à Valve ou à tout autre logiciel à code source fermé. Et je ne fais généralement vraiment confiance qu'aux projets open source qui ont été proactifs en matière de sécurité. »

Toemme: "Actuellement Debian tente de construire ses paquets de manière reproductible [1], vous pouvez donc vérifier si le binaire que vous obtenez est vraiment construit à partir du code source qu'ils vous montrent."

Eingaica: «La plupart (sinon la totalité) des distributions binaires compilent des logiciels et n'utilisent pas les binaires précompilés fournis par les développeurs. Au moins c'est le cas pour les logiciels libres / open source. Que vous puissiez être sûr que les binaires que vous obtenez de votre distribution sont identiques à ce que vous obtiendriez en vous compilant vous-même est un problème différent (voir par exemple le projet de compilation reproductible de Debian). »

OMGTokin: ”... il est vrai que vous installez des binaires et que vous accordez beaucoup de confiance en amont. Bientôt, comme d'autres l'ont mentionné, il y aura des versions reproductibles, mais heureusement pour vous, la plupart des logiciels que vous installez ont un référentiel git qui vous permettra d'extraire le code source pour l'aduit et de le compiler vous-même.

Sendme: «Le niveau de paranoïa dont vous parlez est assez éloigné. Le problème avec les logiciels fermés en ce qui concerne la sécurité est que seules quelques personnes peuvent voir le code source et essayer de le réparer. FOSS a beaucoup plus de développeurs qui examinent le code, donc j'espère que cela entraînera plus de corrections de bogues. »

Tymanthius: «Voici le problème, à moins que vous ne sauvegardiez PLUSIEURS couches pour créer des compilateurs, vous devez commencer à faire confiance quelque part. De plus, il y a le fait clair et simple que la plupart d'entre nous ne sont tout simplement pas si importants / intéressants à espionner. "

Justcs: "La licence ne dicte pas la qualité du code."

Whotookmynick: "... vous ne pouvez pas faire confiance à une grande quantité de code pour un autre, vous pouvez utiliser des outils comme WireShark, Strace, etc.

Apple et MS (et valve) sont des entreprises basées aux États-Unis, donc si leur gouvernement leur disait de faire quelque chose, ils devraient s'y conformer. Une autre chose est le gouvernement allemand qui fabrique des chevaux de Troie légalement.

En ce qui concerne la sécurité personnelle au-delà de cela, votre routeur filtre la plupart des menaces à moins que votre ordinateur n'ouvre un port lui-même, vous devriez être bien sous linux / bsd X peut en ouvrir un, sshd en ouvre un, vnc, skype / irc / peu importe mais ils ont d'avoir des vulnérabilités exploitables sur une connexion »

Plus sur Reddit