Berta Sándor

Csak ámítás, hogy a nyílt forráskódú szoftverekben nincs bug

A sebezhetőségeket a felfedezésük után viszont viszonylag gyorsan befoltozzák.

A GitHub a nyílt forráskódú programokat kritikus infrastruktúráknak tekinti. A platform egy olyan vizsgálatot végzett, amelynek keretében arra volt kíváncsi, hogy a nyílt forráskódú programokban lévő hiányosságok meddig maradnak felfedezetlenek. Kiderült, hogy ez az idő általában négy év, ráadásul a regisztrált biztonsági hibáknak csak a 17 százalékát szokták veszélyesnek minősíteni.

A GitHub összesen több mint 60 millió új adattár több mint 1,9 milliárd kódbejegyzését vizsgálta meg. Az oldal rámutatott, hogy nagyon nehéz olyan helyzetet találni, amikor az adatok nem továbbítódnak legalább egy nyílt forráskódú rendszeren keresztül. Számos szolgáltatás és technológia van a bankrendszerektől az egészségügyig, amelyekre a felhasználók rá vannak utalva és ezek a megoldások szintén rá vannak utalva a nyílt forráskódú szoftverekre. Ezek az infrastruktúrák állnak a globális ipar jelentős részének a hátterében, ezért egyáltalán nem mindegy, hogy mennyire biztonságosak.

A GitHub csak aktív projektek információit értékelte ki és csak hat rendszert (Composer, Maven, NPM, NuGet, PyPi, RubyGems) vett figyelembe. A portálon lévő projektek 94 százaléka függ a nyílt forráskódú elemektől, programonként átlagosan közel 700 elem függ azoktól. A legtöbb függőség a JavaScript (94 százalék), valamint a Ruby és a .NET (egyaránt 90 százalék) esetében merült fel.

Ami mindenképpen pozitívum, hogy a felfedezett sebezhetőségeket viszonylag gyorsan, általában 4 hét alatt befoltozzák. Mindenesetre a platform felszólította a fejlesztőket, a projektfelelősöket és a felhasználókat, hogy automatikusan és időben értesítsék az érintetteket a felfedezett hiányosságokról, hogy így lehessen gyorsabban orvosolni azokat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Agyturbinikusz #7
    Az enyemben biztos nem talalnal, egy egyszeru kepernyo torlo alkalmas, tobb nyelven is meigrtam, es mukodik.

    CLS, Torolj te diszno, meg reccs.

    Amelyik tetszik, szabadon felhasznalhato
  • kékherceg #6
    ott a pont
  • t_robert #5
    Ma már egy program rendszer vagy alkalmazás gyakran olyan bonyolult, hogy nem is lehet tökéletesen 100%-os garanciával kipróbálni és letesztelni. Így a gyakorlati éles használat vagy felhasználók visszajelzései alapján utólag javulnak a hibák. Igazán hatékony ha nem csak szakmabeli nyomogat és tesztel egy programot. Én is írtam már olyan alkalmazást, amit informatikaialg amúgy laikosok használtak. és simán generáltak használat közben olyan hibát, amit én informatikus aggyal el se tudtam képzelni. Nekem ha felkinálok a felületen, hogy nyomd meg A gombot(ami megerősít valamit vagy Nyomjál meg egy B gombot, ami negativ megerősítést erősit meg, hogy van olyan elvetemült felhasználó, aki ahelyett simán ellép máshová és mást csinál. Egyszerűen én magamtól nem tudtam produkálni a hibát és oda kellett ülni a felhasználó mellé, hogy lássam mit nyomogat mikor összevissza. Teljesen át kellet gondolni a felhasználó felületet letiltva és elrejtve dolgokat. :) Alapszabály amit egy felhasználó el tud baszni azt biztosan el is fogja baszni. :)
  • t_robert #4
    mivel a nyílt forráskódú programokat se 100-szor ügyesebb emberek fejlesztik, mint a zártakat így a bekerülő hiba arány hasonló.
    Statisztika szerint még a legleteszteltebb és ellenőrzöttebb program kódban is van átlagosan 1000 forrás soronként valami hiba. Amit aztán késöbb javitanak vagy örökre benne marad a kódban. Persze itt nem olyan hibákról van szó, amitől úgy elszáll az alkalmazás, mint a győzelmi zászló. Hanem olyanokról is, amikor valami bénán logikátlanul van megoldva, vagy lehetne jobb is valami gyakorlati megvalósítása.
    Mondjuk mára egy windows nagyjából áll vagy 150 millió forrás kódnyi sorból. ami azt jelenti, hogy belevisznek a kódba úgy 150 ezer hibát. Amit persze javítanak, ha kiderül és fejlesztés közben újabb hibákat generálnak.
    Természetesen a Linux se tér el ettől statisztikai megbizhatóságban vagy egy Android vagy egy IOS. Persze ma már sok kódot nem ember ír közvetlenül, hanem objektum orientált fejlesztő környezetek generálnak ki adott beállítások mellett bemelve a kódba mondjuk egy a fejlesztő által használt objektum kódját. De nincsen rá garancia, hogy a bemelt rész tökéletes optimális és minden hiba mentes.
  • end3 #3
    A nyílt forráskód a garancia arra, hogy a legjobb fejlesztői szándék ellenére bekerült bugokat a fejlesztő közösség valamelyik tagja felfedezi és gyorsan ki tudják javítani. Mivel általában a nagy számtech. cégek alkalmazottai fejlesztenek "open"-ben is, (meg a "saját céges zárt"-ban is,) ezért valamennyi bug léte triviális a szoftverekben, mind a zárt, mind a nyitott fejlesztéseknél. (Megtalálni ma már, a fejlesztések felgyorsult világában a felhasználók előbb fogják, a visszacsatolás a fejlesztőkhöz telemetrikus rendszereken keresztül történik.)
    Utoljára szerkesztette: end3, 2020.12.04. 09:23:04
  • Szefmester #2
    ...és olyat a cikkírón kívül senki nem is mondott hogy nincs bug...
  • Agyturbinikusz #1
    Kicsit igenyesebb a programozo, es direkt a visszacsatolas a teszteloktol.

    Mert ugye a kodot mindenki lathatja es velemenyezheti, ami eleg sok ember onbecsuleset megtepazhatja.