Vlákno názorů k článku
Švýcarská federální vláda vyžaduje uvolnění zdrojových kódu u svého softwaru od Petr Soukup - Pokud máte zdrojáky, útočníkům se mnohem lépe se...

Pokud máte zdrojáky, útočníkům se mnohem lépe se budou hledat bezpečnostní díry.

To lze ale zase eliminovat tím, že kdo díru nahlásí, dostane odměnu.
Kdo přidá opravu, dostane odměnu ještě větší.

Takže na tom nakonec může být aplikace co se bezpečnosti týče výrazně lépe, než kdyby se to nezveřejnilo. Navíc se z toho dají dělat různé odvozeniny pro podobné účely, na čemž se hodně ušetří.

Ale IT mafie to chtít nebude. Ale asi to bude tím, že ve švýcarsku IT mafie nerozhoduje o přesné podobě zakázky.

Security through obscurity, to nefunguje. Pro útočníka nemusí být problém se dostat do zdrojových kódů a ve zdrojových kódech by nemělo být žádné tejemství, na kterém stojí aplikace.

Nebo snad linuxové distribuce jsou na tom s bezpečností tak moc špatně proti Windowsu?

Dělání odvozenin se řeší licencí ke zdrojovému kódu, kde to můžeš omezit.

Neřekl bych IT mafie, ale logicky společnosti, které jsou závislé na tom, že mají jako jediný k dispozici zdrojový kód se snaží svoji výhodu si ponechat a lobují pro svoje potřeby, dokud lobují pouze argumenty, viděl bych to na normální stav.

U nás kde, zhotovitel často mluví do toho, jaké by měli být podmínky výběrového řízení a je možné projekty 10-ti násobně předražit a ještě zprznit, se IT mafii jistě bavit dá, na rozdíl od Švýcarska.

Otevření kódu jistě předpokládá nějaké možnosti sdílení s podobnými projekty.

Bohužel se obávám že českých IT firem řešící státní zakázky je uzavřenost kódu jako jeden z hlavních bezpečnostních prvků, protože jinak je to příšerně děravé.

Jak mám chápat jinak je to příšerně děravé? Jako že se nezveřejněním zdrojáků stane ta samá binárka méně děravou? :-)

Moje zkušenost se zdrojáky projektů, které byly od začátku closed source, ať už později došlo k jejich zveřejnění nebo ne, a zdrojáky projektů, které byly od začátku open source, je taková, že statisticky si vývojář, který počítá s tím, že jeho kód si bude moci kdokoli prohlédnout, nedovolí zdaleka takové čuňárny jako ten, kdo při psaní počítá s tím, že to stejně nikdo neuvidí. Jsou samozřejmě i výjimky (na obou stranách), ale většinově to takhle funguje.

Mas to chapat tak, ze vse co nas stat pouziva je derave jak reseto, dodavatele to vedi a neresi to, ale snazi se to zamaskovat tim, ze nezverejni zdrojaky.

A ono to ani nemusi byt derave technicky, kdyz soudruzi pak rozeslou treba ty osobni udaje deti na vsechny strany zcela verejne ze? Viz prijimacky napr.

Naprosto falesne dilema, navic opakovane vyvracene. Bezpecniostni diry se hledaji uplne stejne at uz dotycny zdrojaky ma nebo ne.

Nebo snad mas pocit, ze ve windowsich je znamo nasobne mene der nez v tuxovi? Aha, on je pravdou spis opak ze?

Pozri sa nižšie kde som to vysvetlil. Vy schválne ale zamlčujete že aj ľudia s dobrým úmyslom vidia kód, rýchlejšie najdu tie isté bezpečnostné chyby a skorej je opravia.