Is Open Source Software More Secure?
By Sean Michael Kerner on March 1, 2010 1:14 PM
Theo: http://blog.internetnews.com/skerner/2010/03/is-open-source-software-more-s.html
Bài được đưa lên Internet ngày: 01/03/2010
Lời người dịch: Trên thực tế thì ứng dụng nguồn đóng hay nguồn mở đều có lỗi, nhưng thời gian mà nguồn mở được sửa thì nhanh hơn nhiều, mà các cửa hậu ở nguồn mở là ít hơn nhiều. Đó là kết luận được đưa ra từ một nghiên cứu gần đây của Veracode.
Từ các hồ sơ của 'Các nghiên cứu Thú vị':
Tất cả chúng ta đều đã nghe câu nói rằng nhiều con mắt hơn sẽ dẫn tới mã nguồn an ninh hơn khi nói về nguồn mở - mà nó có đúng không nhỉ?
Những cố gắng mới nhất để trả lời câu hỏi đó tới từ việc quét mã nguồn của nhà cung cấp Veracode.
Nghiên cứu của Veracode đã chỉ ra rằng trong tổng số 58% tất cả các ứng dụng mà họ đã quét đã không có một điểm an ninh chấp nhận được nào (nghĩa là chúng đều có một số rủi ro).
Đào sâu hơn thì 39% các ứng dụng nguồn mở và 38% các ứng dụng sở hữu độc quyền đã có một điểm chấp nhật được theo Veracode khi đã ánh xạ đối với 25 Lỗi Lập trình Nguy hiểm Hàng đầu của CWE/SANS (tôi đã nói về danh sách này vài tuần trước).
OK sau đó, điều đó chưa phải là tất cả những gì ấn tượng.
Những gì ấn tượng từ quan điểm của tôi là thời gian chữa trị.
“Các đội dự án nguồn mở đã chữa trị những chỗ bị tổn thương về an ninh nhanh hơn tất cả những người sử dụng khác của nền tảng dịch vụ quản lý rủi ro ứng dụng của Veracode”, Veracode đã nói. “Các ứng dụng nguồn mở chỉ cần 36 ngày từ đề xuất ban đầu để đạt được một điểm an ninh có thể chấp nhận được, so với 48 ngày cho những ứng dụng Được phát triển Nội bộ và 82 ngày cho các ứng dụng Thương mại”.
Veracode cũng đã lưu ý rằng phần mềm nguồn mở đã có ít hơn các cửa hậu với ít hơn 1% khắp các ứng dụng được quét trong nghiên cứu này. Cái “nhiều con mắt” của sự minh bạch của nguồn mở hình như là lý do chủ chốt vì sao không có nhiều cửa hậu trong mã nguồn mở.
Tôi đã thấy và nói về những nghiên cứu khác qua nhiều năm chỉ ra những mức độ khác nhau của chất lượng mã nguồn mở nhưng thời gian cho sự chữa trị thường là những con số thống kê khi mà nguồn mở đứng một mình. Thực tế là tất cả các phần mềm đều có lỗi, dù nhiều mắt hay không. Đây là những gì mà các lập trình viên làm mà một khi thứ gì đó được tìm thấy và cách mà những vấn đề này nhanh chóng được sửa mà theo quan điểm của tôi là thử nghiệm đúng đắn của chất lượng và tính hồi phục nhanh của mã nguồn phần mềm.
From the 'Fun Studies' files:
We've all heard the the cliche that more eyes lead to more secure code when it comes to open source -- but is it true?
The latest attempt to answer that question comes from code scanning vendor Veracode.
The Veracode study found that in aggregate 58 percent of all applications that they scanned did not have an acceptable security score (meaning they had some risk).
Digging deeper 39 percent of Open Source applications and 38 percent of commercial apps did have an acceptable score according to Veracode when mapped against the CWE/SANS Top 25 Most Dangerous Programming Errors (I reported on that list a couple weeks ago).
Ok then, that's not all that impressive.
What was impressive from my perspective is the remediation time.
"Open Source project teams remediated security vulnerabilities faster than all other users of Veracode's application risk management services platform," Veracode stated. "Open Source applications took only 36 days from first submission to reach an acceptable security score, compared to 48 days for Internally Developed applications and 82 days for Commercial applications."
Veracode also noted that open source software had fewer backdoors with less than 1 percent across scanned applications in the study. The 'many eyes' of open source transparency is likely the key reason why there aren't more backdoors in open source code.
I've seen and reported on other studies over the years showing differing levels of open source code quality but the time to remediation is often a stats where open source stands alone. Reality is that all software has bugs, many eyes or not. It's what developers do once something is found and how fast those issues are fixed which in my opinion is the true test of software code quality and resilience.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.