Untuk memahami maksud organisasi kita menggunakan perisian sumber terbuka/tertutup, kita perlu memahami bagaimana ia berbeza antara satu sama lain. Artikel ini menunjukkan perbezaan utama, tetapi ingat bahawa ini adalah penjelasan yang sangat mudah. Maklumat tambahan boleh diperolehi dari Wikipedia atau dengan membaca contoh konkrit menggunakan kedua-dua jenis perisian.

Pertama sekali, perisian sumber terbuka bermakna kita boleh mengubah dan membangunkan program kita selagi kita mempunyai pengetahuan dan kemahiran untuk berbuat demikian. Sebaliknya, adalah mustahil untuk menukar program sumber tertutup sendiri, kerana sumber program/aplikasi tidak tersedia. Walaupun tidak semua daripada kita adalah pengaturcara, kita masih boleh mendapat manfaat daripada bekerja dengan perisian sumber terbuka.

Perisian sedemikian disediakan kepada pengguna secara percuma, bukan sahaja program, tetapi juga sistem pengendalian. Ia dicipta dan dibangunkan oleh pengguna sendiri, yang menyiarkan ciptaan mereka di Internet. Paling program popular dikemas kini dengan kerap kerana ramai orang menggunakannya. Contohnya ialah Mozilla Firefox atau Thunderbird. Jika program tidak dikemas kini dengan kerap, mungkin sumber teknikal yang diperlukan tidak mencukupi untuk ini - persoalan keseluruhannya ialah berapa ramai pengguna yang ada pada program tersebut. Berfrekuensi tinggi kemas kini adalah jaminan pasti keselamatan penggunaan program. Walaupun, jika selepas memasang kemas kini ternyata program itu tidak berfungsi (contohnya, dalam versi baharu sistem operasi tidak disokong oleh Skype), terdapat dua cara untuk menyelesaikan masalah: cuba dapatkan bantuan di forum di Internet atau selesaikan masalah itu sendiri, yang agak sukar.

Perisian sumber tertutup jauh lebih popular daripada perisian sumber terbuka. Pertama sekali, kerana kemudahan penggunaan, dan juga kerana kami hanya terbiasa dengannya - sebagai peraturan, kami menggunakan Windows OS di sekolah, di tempat kerja dan di rumah. Dalam kes program dan sistem pengendalian berdasarkan kod sumber tertutup, kami berurusan dengan produk siap yang tidak memerlukan sebarang campur tangan di pihak kami. Ia adalah lebih mudah untuk pengguna biasa untuk bekerja dengan mereka. Pengguna perisian sumber tertutup sering menekankan betapa mudahnya untuk memasang dan menggunakan, betapa mudahnya untuk mendapatkan bantuan yang jelas untuk program yang ada, dan keupayaan untuk menghubungi perkhidmatan sokongan teknikal sekiranya berlaku masalah. Sistem dan produk sedemikian dikeluarkan oleh syarikat, dan hanya selepas beberapa peringkat ujian. Pengguna hanya membeli keseluruhan pakej perisian, sedia untuk dipasang pada komputer. Perisian sedemikian dibayar: kami membeli lesen, dan selalunya mengemas kini program.

Sesetengah pembangun perisian menyokong organisasi komuniti dan menawarkan perisian secara percuma atau pada harga diskaun melalui organisasi bukan untung masing-masing, seperti rangkaian gabungan TechSoup, yang ahlinya berada di negara yang berbeza. Di Rusia, program ini dilaksanakan oleh Rumah Hijau Teknologi Sosial (Spiro LLC). Dengan menghubungi program infoDonor, anda boleh mengetahui sama ada organisasi anda boleh menyertai program tersebut. Kita juga harus ingat bahawa apabila kita memilih sistem pengendalian, kita juga memilih cara kita bekerja dalam organisasi kita. Sebagai contoh, jika kita memilih Linux, kita tidak akan dapat menggunakan penyelesaian Adobe, dan jika kami memilih Windows, kami perlu membeli lesen untuk bilangan komputer. Setiap kes ada kebaikan dan keburukannya. Kita perlu mempertimbangkan dengan teliti apa sebenarnya yang diperlukan oleh organisasi kita, apakah kriterianya penggunaan yang berkesan peralatan, dan membuat keputusan selepas analisis menyeluruh.

Sudah tentu, perisian sumber terbuka atau tertutup bukan hanya mengenai Microsoft, Mac atau Linux. Isu pelesenan timbul berkaitan dengan sebarang jenis perisian yang digunakan dalam organisasi. Peraturan utama ialah membaca dengan teliti semua lesen dan perjanjian perkhidmatan. Terdapat banyak contoh di mana organisasi telah menghadapi masalah serius dengan perisian yang menjadi hampir tidak berguna disebabkan oleh syarat pelesenan, atau di mana perubahan terkecil pada tapak adalah sangat mahal.

Kebanyakan perisian yang digunakan diedarkan dalam bentuk tersusun. Ini menunjukkan bahawa kod sumber program sedemikian melalui pengkompil khas, yang menukarnya ke dalam bahasa komputer boleh difahami. Seterusnya, perisian yang menggunakan sumber terbuka, adalah sebaliknya.

Kod sedemikian, sebagai peraturan, diedarkan bersama-sama dengan versi terkumpul program, yang memungkinkan untuk mengubah suai atau memperbaikinya dalam setiap cara yang mungkin untuk melaksanakan pelbagai tugas yang lebih luas. Pembangun program sedemikian percaya bahawa dari masa ke masa kod sumber terbuka akan membenarkan produk perisian menjadi lebih berguna dan menyelamatkannya dari banyak kesilapan.

Terdapat beberapa kriteria kelayakan untuk program sumber terbuka:

• pengedaran percuma pakej perisian, bagaimanapun, pada masa yang sama ia boleh menjadi sebahagian daripada projek komersial;
• lampiran kod sumber wajib;
• keupayaan untuk sesiapa sahaja untuk mengedit kod sumber;
• keupayaan untuk mengedarkan versi program yang diubah suai;
• Tidak perlu ada keperluan untuk mengecualikan perisian lain atau mengganggu operasinya.

Mari kita lihat salah satu contoh perisian yang paling menarik yang mengiringi kod sumber terbuka dan telah mendapat pengedaran di seluruh dunia. Pada awal 90-an abad yang lalu, pelajar Finland Linus Torvalds telah membangunkan sistem pengendalian yang benar-benar baru berdasarkan Unix, yang dikenali hari ini sebagai Linux. Sistem ini dikeluarkan di bawah perjanjian Lesen Lesen Awam Am GNU, yang mengandungi definisi sumber terbuka dengan titik undang-undang penglihatan. Sebilangan besar pengaturcara mula menggunakan dan menambah baik sistem pengendalian ini. Setelah mengumpulkan penambahbaikan daripada pengaturcara di seluruh dunia menjadi satu keseluruhan, pada tahun 1994 Linus Torvalds mengeluarkan Linux versi 1.0. Sebelum ini, penomboran versi telah dijalankan bermula pada sifar.

Dari masa ke masa, kebimbangan umum tertentu di kalangan pengguna telah timbul mengenai kekurangan waranti, serta sokongan teknikal untuk perisian tersebut. Oleh itu syarikat topi merah Perisian mencipta pakej perisian Rasmi Red Hat Linux, yang mereka berjaya jual. Ciri yang paling penting bagi sistem pengendalian yang dipasarkan itu ialah ketersediaan jaminan dan sokongan teknikal, apa yang tidak kurang pentingnya.

Beberapa syarikat lain juga sedang membangunkan versi baharu Linux untuk dijual, dan pakej ini telah tambahan dilengkapi dengan pelbagai perisian, antaranya: pelayar internet Mozilla, dicipta pada kernel Netscape, pelayan web Apache, bahasa untuk menyediakan skrip web Perl, format grafik fail PNG dan lain-lain lagi. Selain itu, terdapat versi pakej perisian tersenarai yang dibangunkan untuk sistem pengendalian Windows dan Android. Ini menunjukkan bahawa program sumber terbuka tersedia bukan sahaja untuk komputer, tetapi juga untuk peranti mudah alih.

Untuk meringkaskan, adalah bernilai mengatakan bahawa program yang disertakan Mereka adalah sumber terbuka dan mempunyai beberapa kelemahan. Pertama sekali ini pelbagai versi, akibatnya pengubahsuaian satu program boleh membawa kepada penciptaan pakej perisian bebas baharu. Perkara kedua yang perlu ditekankan ialah Pengguna yang menggunakan program lapuk, di mana beberapa ralat mungkin tidak dapat dihapuskan, tidak mungkin untuk berfungsi dengan format fail baharu, dan sebagainya. Contoh kes sedemikian boleh dipanggil program Microsoft Perkataan dan Pejabat terbuka. Jika beberapa formula kompleks ditulis dalam paket pertama, maka yang kedua tidak akan dapat membacanya.

Juga antara perisian sumber terbuka tidak ada yang dipanggil pakej istimewa direka untuk perakaunan dan pelaporan. Kelemahan lain secara langsung berkaitan dengan perkakasan; hakikatnya ialah apabila beralih dari Windows ke Linux, perlu mengambil kira bahawa pemacu Linux tidak wujud untuk semua model peranti komputer, yang akan menyebabkan operasi yang tidak betul sistem.

Namun, jangan kita lupakan aspek positif perisian tersebut, kerana sumber terbuka mempunyai banyak faedah. Pertama, semua perisian sumber terbuka diedarkan secara percuma. Kedua, seperti itu program kadangkala muncul lebih cepat komersial kerana fakta bahawa beberapa ribu orang terlibat dalam pembangunan sekaligus dan tidak setiap syarikat mampu membayar kerja beberapa ribu pengaturcara. Perkara terakhir yang perlu diperhatikan kebimbangan keupayaan untuk menyelesaikan kesilapan dengan cepat, menjadikan program sumber terbuka lebih stabil daripada program komersial.

27/03/2015 | 02:24 Analitis

Sekiranya terdapat hadiah untuk menyelesaikan masalah yang dihadapi oleh keselamatan sistem sumber terbuka, ia akan diberikan kepada Werner Koch, pemaju Jerman yang telah bekerja selama 18 tahun yang lalu untuk memelihara tiang itu. sumber terbuka ekosistem - Pengawal Privasi GNU (GnuPG).

Sejak keluaran pertama pada tahun 1999, GnuPG telah menjadi salah satu alat keselamatan sumber terbuka yang paling banyak digunakan di dunia, melindungi e-mel semua orang daripada pegawai kerajaan hingga Edward Snowden.

Bagaimanapun, Koch mendapati sukar untuk memenuhi keperluan hidup tahun lepas. Dianggarkan dia telah mengumpul purata $25,000 dalam derma tahunan sejak 2001, tetapi ia tidak mencukupi untuk menyokong usahanya. Menurut Pro Publica, Koch, 53, hampir berhenti dari GnuPG, tetapi apabila pendedahan Edward Snowden mengejutkan dunia, Koch memutuskan untuk terus berjuang. “Saya terlalu idealis,” katanya.

Kisah ini mempunyai pengakhiran yang bahagia. Selepas cerita ProPublica muncul, penderma dari seluruh dunia bergegas untuk menyokong Koch. Dia dengan mudah menaikkan $137,000 yang telah dia rancang untuk menyokong kerja itu, yang membolehkannya mengupah pemaju sambilan. Koch telah dianugerahkan geran sekali sebanyak $60,000 daripada Inisiatif Infrastruktur Teras Yayasan Linux. Facebook dan syarikat pembayaran dalam talian Stripe masing-masing telah menjanjikan $50,000 setahun untuk projek Koch.

Projek kekurangan dana, seperti GnuPG sehingga baru-baru ini, adalah banyak ekosistem sumber terbuka. Lebar guna semula Sumber terbuka membantu mengurangkan pembangunan, tetapi jumlah kod itu menghalangnya daripada disemak untuk keselamatan. Baru-baru ini kami mula melihat masalah, selalunya selepas pelanggaran keselamatan, yang telah memaksa industri untuk bertindak.

Saya menulis program untuk makanan

Keadaan di mana Koch bekerja selama bertahun-tahun bukanlah sesuatu yang luar biasa.

Selepas penyelidik Google Neil Mehta menemui Heartbleed, kelemahan yang serius dan boleh dieksploitasi dari jauh dalam komponen OpenSSL, komuniti pembangun terkejut apabila mengetahui bahawa projek itu sebahagian besarnya adalah tanggungjawab Jim Zemlin, pengarah eksekutif Yayasan Linux, yang dipanggil "dua lelaki" bernama Steve." Dr. Stephen Henson dan Steve Marquez menyumbang sambilan untuk memastikan kod itu dikemas kini, disokong oleh beberapa ribu dolar setahun dalam sumbangan sukarela.

Pembekal teknologi yang bergantung pada sumber terbuka cepat menyerbu dan cuba membersihkan projek OpenSSL. Inisiatif Infrastruktur Teras, yang memberi pencipta GnuPG geran $60,000, telah diwujudkan beberapa bulan lebih awal untuk membantu membiayai kerja Henson dan projek OpenSSL yang lain. Sokongan kewangan disediakan oleh syarikat gergasi Silicon Valley seperti Amazon, Adobe, Cisco, Facebook dan Google.

Terlalu ramai tukang masak merosakkan kuahnya

Heartbleed bukanlah pepijat serius pertama dalam sistem sumber terbuka. Sebagai contoh, kelemahan Apache Struts mendahuluinya hampir setahun, dan tidak kurang teruknya.

Walau bagaimanapun, terima kasih kepada gembar-gembur media, Heartbleed mungkin selama-lamanya mendiskreditkan pepatah terkenal Eric Raymond tentang kualiti perisian sumber terbuka: "Dengan mata yang mencukupi, semua pepijat terletak di permukaan." Kebanyakan pakar keselamatan mengatakan konsep itu sentiasa lebih bercita-cita daripada deskriptif.

"Saya tidak pernah menyukai konsep 'banyak mata,'" kata Joshua Korman, ketua pegawai teknologi Sonatype. "Hanya kerana terdapat banyak daripada mereka tidak bermakna mata itu bermotivasi atau layak untuk mencari kelemahan keselamatan."

Pendekatan "banyak mata" kepada sumber terbuka sebahagian besarnya menutupi kelemahan ekosistem sumber terbuka, membayangkan suasana kewaspadaan berterusan yang tidak pernah wujud, kata Bill Weinberg, pengarah kanan strategi sumber terbuka di Black Duck Software.

"Dengan Shellshock, banyak mata tidak membantu," kata Weinberg, memetik kerentanan kritikal yang ditemui dalam kod Bash pada 2014. "Kod ini juga dianggap telah diuji, tetapi ternyata tiada siapa yang memilihnya kerana semua orang menganggap ia telah diuji dengan baik."

Walaupun kami mungkin menganggap bahawa integriti kod sumber terbuka adalah tinggi, data Sonatype mencadangkan sebaliknya. Analisis syarikat terhadap komponen sumber terbuka dalam kod terurusnya mendapati bahawa kelemahan yang diketahui dalam komponen sumber terbuka telah diperbaiki hanya 41% pada masa itu, tulis Corman. Untuk isu yang telah diperbetulkan, purata masa untuk menyelesaikan ialah 390 hari.

Walau bagaimanapun, bercakap tentang sumber terbuka secara berasingan daripada perisian komersial, proprietari adalah salah. Walaupun projek perisian sumber terbuka dan proprietari adalah berasingan, kebanyakannya aplikasi moden adalah koleksi komponen perisian pemaju pihak ketiga, kebanyakannya adalah komponen sumber terbuka, kata Corman.

Perlu mengambil serius keselamatan peringkat kod

Apakah penyelesaian kepada masalah tersebut? Untuk lebih baik atau lebih buruk, jawapannya adalah sebahagian besar budaya, kata Katie Mouzoris, ketua pegawai dasar di HackerOne dan bekas ahli strategi keselamatan kanan di Microsoft. “Kita mesti fikir dari segi keselamatan. Ini penting untuk mana-mana projek perisian - sumber terbuka atau tidak."

Muzoris menawarkan platform web untuk menyelaraskan pendedahan kelemahan, termasuk melalui program hadiah pepijat. Dia menyatakan bahawa HackerOne telah menaja pepijat dalam pelbagai projek sumber terbuka, termasuk termasuk PHP, Ruby on Rails, Python dan OpenSSL, memberikan pampasan untuk pelaporan kelemahan.

Projek sumber terbuka perlu mengambil pendekatan yang lebih serius dan sistematik terhadap keselamatan, katanya. "Anda sekurang-kurangnya harus cuba meningkatkan keselamatan."

Korman Sonatype menyokong penyelesaian yang lebih ketat: mewujudkan rantaian bekalan yang serupa dengan yang digunakan oleh pengilang, memastikan kualiti tinggi dan tanggungjawab.

Menggunakan analogi barisan pengeluaran Ford, Corman menyatakan bahawa syarikat itu mengetahui asal usul setiap bahagian yang masuk ke dalam kereta siap. Masalah boleh dikesan kembali kepada pembekal tertentu, peralatan dan juga kitaran pengeluaran.

DALAM organisasi moden untuk pembangunan perisian, bagaimanapun, sistem sedemikian tidak wujud. Hampir semua perisian komersial membenarkan penggunaan perisian sumber terbuka dan komponen proprietari yang dijual oleh pihak ketiga, tetapi syarikat perisian mungkin mempunyai pengetahuan terhad tentang kualiti dan asal kod ini. Selalunya, skop dan kesan kelemahan hanya diketahui selepas isu ini timbul.

Dalam kes Shellshock, sebagai contoh, masalah dalam kod bermula pada tahun 1989 dan mempunyai pelbagai pengaruh - daripada pelayan web berasaskan CGI ( antara muka biasa pintu masuk) dan pelayan mel Qmail, kepada pelanggan DHCP tertentu. Serangan terhadap kerentanan bermula dalam beberapa jam selepas pendedahannya.

Ikut pemimpin

Projek-projek yatim piatu dan ulasan yang lemah tidak seharusnya mengaburkan fakta bahawa beberapa syarikat terkemuka industri sedang menuju ke arah kod selamat.

Syarikat yang mengeluarkan versi komersial Linux seperti Canonical, Red Hat dan Google sudah melabur banyak dalam keselamatan dan integriti sumber terbuka. Syarikat yang kaya dan mesra sumber terbuka seperti Netflix dan Facebook telah menumpukan sumber yang besar untuk projek yang meningkatkan kualiti kod sumber terbuka.

Di Mozilla, tanggungjawab untuk keselamatan dibahagikan kepada tiga pasukan, kata pengurus pembangunan Jason Duell. Satu pasukan mengutamakan isu keselamatan apabila mereka ditemui. Pasukan kedua bingung untuk mencari kelemahan, dan pasukan ketiga membangunkan ciri keselamatan dan privasi seperti Mozilla Keselamatan Kandungan Dasar.

Duell berkata kekaburan dan ujian ketat kod yang sedang dibangunkan adalah teras budaya pembangunan Mozilla walaupun sebelum dia menyertai syarikat itu enam tahun lalu. Walau bagaimanapun, Mozilla telah mengubah amalan pembangunan lain kerana kesedarannya terhadap ancaman kod sumber terbuka yang semakin meningkat.

"Kami telah mengubah pelbagai amalan untuk bersaing dengan musuh yang meneroka repositori awam kami untuk tujuan penggodaman," kata Duell. Di satu pihak, tampung keselamatan untuk kod Mozilla diselaraskan sebelum dikeluarkan untuk memberi penyerang lebih sedikit masa. Sebelum ciri baharu utama dikeluarkan, ia disemak oleh pasukan audit keselamatan.

Di Canonical, yang menjadikan Ubuntu Linux, pasukan yang berkembang pesat menyemak kod keselamatan yang berjumlah 35,000 pakej perisian yang dikeluarkan sebagai sebahagian daripada Ubuntu melalui pelbagai saluran, kata Dustin Kirkland, pengurus produk untuk penyelesaian awan di Canonical.

Seperti Mozilla, operasi keselamatan Canonical merangkumi pelbagai inisiatif yang berbeza, daripada pembangunan ciri kepada audit kod. Bersetuju dengan pendapat Corman, Kirkland berkata risiko rantaian bekalan adalah isu utama.

Canonical mendedikasikan sumber penting untuk menilai daya maju komponen sumber terbuka yang digabungkan dengan sistem pengendalian teras.

"Dengan teknologi sumber terbuka, kami memutuskan sama ada lebih baik menggunakannya atau menulis garpu dan kemudian membangunkan dan mengembangkannya," kata Kirkland, yang merupakan veteran 20 tahun ruang sumber terbuka dan telah diedarkan selama lebih daripada 20 tahun, projek sumber terbuka. Syarikat itu mendapat kecaman dari dalam komuniti sumber terbuka apabila ia memutuskan untuk menghentikan kod sumber terbuka sedia ada, tetapi Kirkland melihat kemungkinan forking sebagai salah satu kekuatan sumber terbuka.

"Kami tidak akan mencipta versi sendiri OpenSSL dan GPG,” kata Kirkland. "Namun, untuk mempunyai perpustakaan alternatif penyulitan adalah sangat penting. Perlu ada kepelbagaian, terutamanya apabila kita belajar tentang kelemahan beberapa komponen ini.”

Kini semua orang menggunakan sumber terbuka

Walaupun kelihatan menyusahkan, pakar mengatakan tiada jalan untuk berpatah balik. Weinberg telah menghabiskan sebahagian besar kerjayanya sebagai apa yang dipanggilnya sebagai "pembela iman," menentang percubaan vendor komersial seperti Microsoft untuk memburukkan pergerakan sumber terbuka. Dia berkata tembok yang pernah memisahkan "sumber terbuka" dan "sumber tertutup" telah lama dirobohkan.

"Tiada lagi perkara seperti perisian proprietari, kerana terdapat sangat sedikit perisian tanpa beberapa jenis pergantungan sumber terbuka," katanya. "Dunia telah beralih kepada perisian yang dipacu komuniti—dalam satu bentuk atau yang lain."

"Saya benar-benar fikir ia adalah tanggungjawab bersama, " kata Kirkland. "Jika anda berfikir tentang betapa bergantungnya kita semua pada banyak perisian sumber terbuka, maka anda perlu berharap bahawa keselamatan menjadi tanggungjawab bersama dan tanggungjawab itu tidak hanya kekal dengan Yayasan Linux dan Red Hat."

Dalam erti kata lain, kita boleh mengetap gigi dan mencabut rambut kita tentang Heartbleed, tetapi pada tahun 2015, semua syarikat yang membuat, menggunakan atau bergantung pada perisian adalah syarikat perisian sumber terbuka de facto, sama ada mereka tahu atau tidak. Ini menjadikan mereka sebahagian daripada masalah dan penyelesaiannya.

Evgeniy Tsarev

Lihat utiliti sumber terbuka pintar ini yang direka untuk melindungi kod sumber, kenal pasti fail berniat jahat, menyekat proses berniat jahat dan memastikan keselamatan titik akhir.

Sumber terbuka adalah perkara yang mengagumkan. Sebahagian besar syarikat IT moden dan teknologi peribadi bergantung pada perisian sumber terbuka. Tetapi walaupun perisian sumber terbuka digunakan secara meluas di lapangan teknologi rangkaian, sistem pengendalian dan virtualisasi, platform keselamatan syarikat kekal ditutup. Nasib baik, ini berubah.

Adalah satu perkara yang buruk jika anda belum beralih kepada sumber terbuka untuk mencari penyelesaian kepada masalah keselamatan anda - anda menafikan diri anda daripada sejumlah besar utiliti yang tersedia secara percuma yang direka untuk melindungi rangkaian, hos dan data anda. Dan, yang paling penting, kebanyakan utiliti ini boleh didapati daripada projek aktif, disokong oleh sumber yang diketahui dan boleh dipercayai. Dan kebanyakan utiliti ini telah diuji dalam keadaan yang sangat sukar yang anda tidak akan bayangkan.

Sumber terbuka sentiasa menjadi sumber alat yang kaya untuk profesional keselamatan. Metasploit mungkin yang paling terkenal, tetapi Keselamatan maklumat tidak terhad kepada aktiviti penyelidik dan penganalisis. Ini juga terpakai kepada lima utiliti yang akan kami pertimbangkan seterusnya. Pentadbir IT dan pembangun perisian bermain peranan utama dalam memastikan keselamatan. Dengan menggunakan lima utiliti yang disenaraikan di bawah, mereka akan dapat mencapai kejayaan yang ketara.

Commit Watcher: Semak repositori kod untuk mencari rahsia

Repositori sumber terbuka tidak seharusnya menyimpan sebarang data sensitif. Tetapi itu tidak menghalang pembangun yang tidak berfikiran daripada meninggalkan mereka di sana. Lebih daripada sekali kami telah membaca laporan orang yang secara tidak sengaja mengeluarkan data Amazon peribadi. Perkhidmatan Web, kata laluan yang disulitkan atau token API dengan memuat naiknya ke GitHub atau repositori kod lain.

Untuk memerangi ini, SourceClear menghasilkan Commit Watcher. utiliti percuma perisian sumber terbuka yang mencari repositori awam dan peribadi untuk data yang berpotensi berbahaya. Pembangun dan pentadbir boleh menggunakan Commit Watcher untuk memantau projek sendiri sekiranya berlaku pendedahan data rahsia secara tidak sengaja.

Commit Watcher menyemak projek secara berkala untuk entri baharu dan mencari padanan mana-mana kata kunci dan frasa yang ditakrifkan dalam peraturan projek. Peraturan termasuk nama fail, corak kod, ulasan dan nama pengarang. Commit Watcher disertakan dengan berdozen peraturan prakonfigurasi yang mencari bukti kelayakan AWS, bukti kelayakan Salesforce, kunci SSH, API token dan longgokan pangkalan data.

Jak: Sulitkan rahsia anda dalam Git

Terdapat banyak sebab mengapa pentadbir IT mungkin tidak menggunakan alat sumber terbuka dalam kerja mereka, termasuk kebimbangan tentang kekurangan sokongan teknikal. Lebih penting ialah soal amanah. Syarikat enggan bergantung pada produk daripada pembangun yang tidak dikenali.

Projek keselamatan sumber terbuka dalam senarai ini disokong oleh sumber yang boleh dipercayai dan semestinya berada dalam senjata anda. Setiap alat ini menangani isu keselamatan tertentu. Jika anda mencubanya dalam amalan, ia tidak akan membahayakan anda. Utiliti ini boleh menjejaskan kerja anda dengan serius dan, akibatnya, keselamatan persekitaran anda.

Peter Van Valkenburg, ketua penyelidikan di Pusat Syiling dan ahli lembaga pengarah Yayasan Zcash, menjelaskan mengapa Pembangunan perisian sumber terbuka adalah penting untuk membina kepercayaan dan memastikan keselamatan dalam rangkaian blockchain.

Kod komputer yang mendasari semua mata wang kripto utama dan projek blockchain terbuka dibangunkan sebagai perisian sumber terbuka. Pengawal selia dan penggubal dasar yang cuba memahami mata wang kripto tetapi tidak biasa dengan perisian sedemikian mungkin terkeliru untuk berfikir bahawa sistem ini (dan harus) dibangunkan oleh satu atau lebih syarikat komersial. Walaupun banyak perisian terkenal sebenarnya sedang dibangunkan Dengan cara yang sama(seperti Microsoft Windows atau RDBMS Oracle), perkara adalah berbeza dengan projek sumber terbuka, dan perbezaan ini boleh dan harus membentuk pendapat umum. Perisian sumber terbuka dicipta secara kolaboratif, diedarkan secara bebas, diterbitkan secara terbuka, dan dibangunkan sebagai produk komuniti dan bukannya hak milik satu syarikat atau individu. Dalam kes ini, tidak ada monopoli, tidak ada satu syarikat atau individu yang akan mencipta dan menjual perisian atau memilikinya. Sama seperti tidak ada syarikat tunggal yang memiliki rangkaian Bitcoin, tidak ada syarikat tunggal yang menghasilkan perisian yang berjalan pada komputer yang disambungkan ke Internet untuk membentuk rangkaian. Desentralisasi ini mempunyai beberapa faedah asas yang mungkin sukar difahami bagi orang yang tidak biasa dengan pembangunan perisian. Untuk lebih memahami kuasa dan sifat sumber terbuka, mungkin berguna untuk mendapatkan sedikit pandangan tentang satu perisian sumber terbuka yang berjaya. Kita bercakap tentang bilik pembedahan. sistem Linux.

Sumber terbuka di mana-mana

Sukar untuk mengira berapa kali sehari anda menggunakan Linux, kerana sistem pengendalian inilah yang mendasari operasi kebanyakan pelayan di Internet. Setiap kali anda melawati Facebook, Google, Pinterest, Wikipedia dan beribu-ribu tapak utama yang lain, perkhidmatan yang disediakan oleh tapak (sangat berbeza) ini, anda berurusan dengan komputer yang berkemungkinan besar menjalankan sistem pengendalian Linux. Linux boleh didapati lebih dekat; Kemungkinan anda ada di tangan. Katakan sistem pengendalian telefon pintar Android adalah berasaskan Linux. Jika anda mempunyai Chromebook, maka anda menggunakan komputer riba berasaskan Linux. Sistem pengendalian ini semakin digunakan dalam televisyen, termostat, sistem multimedia dalam kapal terbang, kereta dan sebagainya.

Mengapa ini menarik? Kerana Linux bukan produk seorang pengaturcara atau sekumpulan pengaturcara; tidak seperti MacOS atau Windows, ia tidak dibangunkan oleh satu malah sedozen syarikat. Linux mempunyai ribuan penyumbang. Sebagai Yayasan Linux, sebuah organisasi bukan untung yang mempromosikan pembangunan terbuka sistem pengendalian, dilaporkan pada 2015, kira-kira 14,000 pembangun daripada lebih 1,300 syarikat berbeza menyumbang coretan kod. Pada tahun 2015 sahaja, 2,355 pembangun mengambil bahagian dalam penambahbaikan kod buat kali pertama. Oleh itu, melalui ekstrapolasi, boleh dikira bahawa menjelang 2017 kira-kira 18,000 orang telah menyumbang, dan jumlah ini akan meningkat.

Siapa sangka walaupun lima tahun yang lalu (pada tahun 1991) bahawa sistem pengendalian bertaraf dunia boleh, seolah-olah dengan sihir, disatukan menjadi satu keseluruhan daripada serpihan kerja bebas beberapa ribu pembangun yang tersebar di seluruh dunia dan disambungkan sahaja oleh benang hantu Internet?

Faedah Sumber Terbuka

Dalam bukunya, Raymond bercakap tentang bagaimana sumber terbuka adalah kaedah revolusioner untuk mencipta teknologi. Linux, dengan beribu-ribu pembangun bebas yang bekerja dalam mod kerjasama awam, mencontohkan model sumber terbuka. Mata wang kripto mengikuti model yang sama, tetapi kita akan membincangkannya di bawah.

Raymond menyerlahkan beberapa faedah model sumber terbuka. Perkara utama dalam konteks perbincangan kami adalah seperti berikut:

• Setiap perisian yang baik bermula dengan memenuhi keinginan peribadi pembangun. Kebanyakan pembangun projek sumber terbuka didorong oleh keinginan untuk menggunakan secara peribadi produk yang dicipta. Mereka tidak terikat dengan kontrak yang mewajibkan mereka mencipta sesuatu untuk yang lain; mereka mempunyai keperluan peribadi yang mereka penuhi. Oleh itu, motivasi yang berbeza secara kualitatif timbul, menjana pengetahuan terperinci tentang masalah tersebut.
• Pengaturcara yang baik tahu apa yang hendak ditulis. Yang hebat tahu apa yang hendak ditulis semula (dan digunakan semula). Apabila pembangunan dilakukan secara terbuka, lebihan boleh dielakkan, dan kod bermasalah, kompleks atau berlebihan boleh dikenal pasti dan dipermudahkan.
• Apabila anda kehilangan minat dalam sesuatu program, tugas terakhir anda adalah untuk memindahkannya ke tangan pengganti yang cekap. Orang ramai menyertai dan meninggalkan projek sumber terbuka berdasarkan minat dan kecekapan mereka. Tiada siapa yang terjebak dalam membuat projek yang tidak lagi menarik. Kepala baru muncul, menawarkan sudut pandangan yang berbeza mengenai masalah lama atau prospek pembangunan baharu.
• Melihat pengguna sebagai rakan pembangun ialah cara paling mudah untuk menambah baik kod dan menyahpepijat perisian dengan berkesan. Ramai pengguna sumber terbuka membantu mengenal pasti masalah dan juga menyediakan penyelesaian. Garis antara pengguna dan pengeluar perisian sumber terbuka adalah kabur: kerja pada perisian adalah telus, ia dijalankan di mata umum, dan penyertaan dalam proses penciptaan tersedia untuk semua orang.
• Jika terdapat pangkalan penguji dan pembangun beta yang cukup besar, hampir semua masalah akan dikenal pasti dengan cepat, dan penyelesaiannya mungkin jelas kepada seseorang. Postulat ini dipanggil Undang-undang Linus untuk menghormati Linus Torvalds, pencipta kernel Linux, yang untuk masa yang lama kekal sebagai pembangun utama sistem pengendalian ini. Apabila proses pembangunan kod ditutup, pembangun berisiko kehilangan titik lemah atau tidak menyedari pepijat tertentu. Membangunkan dalam kalangan pengguna berpengalaman dengan perspektif yang unik meningkatkan kemungkinan pepijat dikenal pasti dan diperbaiki, menjadikan perisian sumber terbuka lebih selamat dan berdaya tahan.

Hasil daripada pembangunan ini adalah sangat boleh dipercayai kod program, dicipta oleh pengguna untuk pengguna. Matlamatnya bukan untuk mencipta sesuatu yang memperkayakan syarikat yang membuat dan menjual produk, tetapi untuk menyelesaikan masalah yang cukup biasa untuk komuniti yang hebat pengaturcara berbakat gembira untuk menyumbang. Orang yang tidak mempunyai kemahiran pengaturcaraan mendapat banyak manfaat daripada model ini. Perisian percuma nampaknya menjadi kenyataan, tersedia secara bebas untuk semua orang, dan sentiasa dikemas kini selagi pengguna peringkat pakar juga berminat untuk menggunakannya.

Undang-undang dan Perisian Percuma

Perundangan semasa menyokong dan dalam beberapa kes menggalakkan pembangunan perisian sumber terbuka. Ia, seperti semua perisian, dilindungi oleh hak cipta, tetapi pengarangnya mengeluarkan kod di bawah lesen yang membenarkan sesiapa sahaja untuk menggunakan dan mengubah suainya tanpa kebenaran khusus atau sebarang bayaran kepada pengarang (iaitu, lesen yang dibangunkan oleh Massachusetts Institute of Technology - MIT).

Sesetengah lesen termasuk keperluan bahawa derivatif perisian mesti dikeluarkan di bawah syarat yang sama. Terima kasih kepada skim ini, asas kod sumber terbuka berkembang dan merebak. Fenomena ini dikenali sebagai lesen perisian percuma, atau LGPL-3 - Lesen Awam Umum Kecil.

Sumber terbuka dalam mata wang kripto dan projek token

Linux mungkin merupakan contoh terbesar dan paling penting bagi model sumber terbuka, tetapi terdapat yang lain. Ini termasuk semua projek mata wang kripto dan blockchain utama. Mereka semua mencipta jaringan komputer, membolehkan peserta mencapai persetujuan mengenai data yang dikongsi (blockchain mata wang kripto).

Perisian yang memberikan mana-mana peserta keupayaan untuk menyambung ke rangkaian dipanggil klien, dan ia adalah perisian sumber terbuka. Selalunya, perisian klien dibangunkan oleh beberapa peserta yang tidak berkaitan sebagai versi paling mudah perisian rangkaian (iaitu, pelanggan rujukan yang dipanggil), atas dasar itu anda boleh membina perisian untuk perlombongan, dompet, pertukaran atau perisian lain yang serasi dengan rangkaian.

Pelanggan Teras Bitcoin- hasil kerja lebih daripada 450 pemaju bebas yang, secara keseluruhan, menyumbang kepada pembangunan kod lebih daripada 15,000 kali. Perisian ini tersedia untuk kegunaan percuma dan pengubahsuaian di bawah Lesen Perisian Percuma MIT, dan keseluruhan sejarah pembangunan tersedia untuk semakan dalam repositori awam di Github, perkhidmatan awan yang membenarkan sesiapa sahaja membuat akaun, memuat turun kod baharu dan menjejaki perubahan. Jika repositori yang anda buat terbuka untuk tontonan umum, ulasan dan cadangan perubahan, maka anda tidak perlu membayar untuk akaun Github.

Repositori awam juga menjejaki apa yang dipanggil garpu pelanggan asal. Garpu mencipta klon perisian asal, yang kemudiannya boleh diubah suai untuk satu tujuan atau yang lain tanpa mengubah storan asal. Pembangun bebas menggunakan repositori Bitcoin Core di Github untuk mencipta sama ada aplikasi tertentu yang serasi dengan Bitcoin (contohnya, dompet untuk telefon pintar) atau mata wang kripto baharu, yang tidak lagi serasi dengan rangkaian Bitcoin dan membayangkan penciptaan rangkaian mata wang kripto baharu (contohnya, ini berlaku dengan Litecoin atau Zcash). Sehingga kini, pelanggan Bitcoin Core asal telah dicabang lebih daripada 10,000 kali, dan repositori baharu muncul menunjukkan bahawa penciptaan produk derivatif diteruskan.

Ethereum kini mempunyai sekurang-kurangnya 121 repositori, setiap satunya memfokuskan pada aspek khusus projek (contohnya, bahasa pengaturcaraan untuk menulis kontrak pintar, pelayar grafik untuk berinteraksi pengguna akhir dengan rangkaian Ethereum, pelanggan yang serasi untuk mengambil bahagian dalam rangkaian, dsb.). Terdapat tidak kurang daripada lapan projek yang bertujuan untuk membangunkan pelanggan yang serasi dengan Ethereum, dan pelanggan yang paling popular (go-ethereum dan Parity) mempunyai beratus-ratus pembangun bebas yang mengusahakannya. Kod Ethereum dan kodnya cerita penuh, seperti kod dan sejarah Bitcoin, tersedia untuk tontonan umum di Github dan tapak lain. storan rangkaian, dan semua kod dikeluarkan di bawah lesen LGPL-3, yang memerlukan semua karya terbitan masa hadapan dikeluarkan di bawah lesen yang sama.

Malah projek baru-baru ini yang didorong oleh pemula komersial menunjukkan komitmen terhadap kepercayaan sumber terbuka. Syarikat Zcash membangunkan protokol Zcash melalui repositori awam. Beberapa pembangun utama tidak bekerja untuk syarikat itu, dan organisasi bukan untung yang dicipta khas didedikasikan untuk memastikan terdapat peralihan beransur-ansur daripada pembangunan yang diterajui syarikat kepada pembangunan yang didorong oleh komuniti. Pangkalan kod sumber Zcash dikeluarkan di bawah lesen MIT. Makmal protokol, pembangun Filecoin, berhasrat untuk mencipta yang serupa model terbuka dan telah pun mengujinya dalam projek IPFSnya, bekerja dengan kod dalam repositori terbuka dan mengeluarkannya di bawah lesen MIT.

Mengapa sumber terbuka penting

Mata wang kripto dan rantaian blok awam boleh menyediakan fungsi yang akan dikawal selia jika ia datang daripada satu syarikat. Penerbit Berpusat mata wang digital, seperti Liberty Reserve atau E-gold, adalah perkhidmatan kewangan dan dikehendaki mendaftar dengan Pentadbiran Penguatkuasaan Jenayah Kewangan Perbendaharaan A.S. dan mendapatkan lesen pemancar wang di setiap negeri. Jika token tersebut dipasarkan untuk menarik pelabur, ia mungkin membentuk sekuriti, yang mana pendaftaran dengan Suruhanjaya Sekuriti dan Bursa AS akan diperlukan. Sekatan ini masuk akal kerana perkhidmatan terpusat datang dengan risiko bahawa pihak yang berada di tengah-tengah skim akan gagal menunaikan janjinya untuk menguji produk dengan secukupnya dan menjadikannya selamat.

Walau bagaimanapun, teknologi seperti Bitcoin boleh menawarkan fungsi yang sama semasa dibuka dan tidak dikongsi dengan sesiapa. rangkaian yang dimiliki. Tiada syarikat di sini. Pengguna menyertai rangkaian ini, dan perisian sumber terbuka menggalakkan mereka untuk bekerjasama. Akhirnya, semua peserta bersetuju dengan setiap data yang diperlukan untuk mencipta mata wang. Desentralisasi terletak pada dua tonggak: mekanisme konsensus terbuka dan perisian sumber terbuka. Jika kod itu bukan sumber terbuka, bagaimanakah peserta (orang yang tidak mengenali antara satu sama lain di Internet) dapat memahami dan mempercayai sistem yang mereka sertai?

Malah, projek token berdasarkan kod proprietari mungkin hanya perkhidmatan terpusat yang berselindung di sebalik slanga profesional dan "blockchain gobbledygook." Walau bagaimanapun, projek "benar" mempunyai kod yang mewujudkan rangkaian terdesentralisasi yang membolehkan peserta mempercayai antara satu sama lain, mempunyai motivasi yang sama dan menghukum penipu, dan dengan sendirinya terdesentralisasi. Ia dibangunkan di hadapan ratusan peminat, tersedia untuk digunakan dan diubah suai oleh semua orang di dunia, dan bebas sepenuhnya daripada kepentingan korporat.