Liệu phần mềm nguồn mở có an ninh hơn không?

IsOpen Source Software More Secure?

By Sean Michael Kerner onMarch 1, 2010 1:14 PM

Theo:http://blog.internetnews.com/skerner/2010/03/is-open-source-software-more-s.html

Bài được đưa lênInternet ngày: 01/03/2010

Lờingười dịch: Trên thực tế thì ứng dụng nguồn đónghay nguồn mở đều có lỗi, nhưng thời gian mà nguồn mởđược sửa thì nhanh hơn nhiều, mà các cửa hậu ởnguồn mở là ít hơn nhiều. Đó là kết luận được đưara từ một nghiên cứu gần đây của Veracode.

Từ các hồ sơ của'Các nghiên cứu Thú vị':

Tất cả chúng ta đềuđã nghe câu nói rằng nhiều con mắt hơn sẽ dẫn tới mãnguồn an ninh hơn khi nói về nguồn mở - mà nó có đúngkhông nhỉ?

Những cố gắng mớinhất để trả lời câu hỏi đó tới từ việc quét mãnguồn của nhà cung cấp Veracode.

Nghiên cứu củaVeracode đã chỉ ra rằng trong tổng số 58% tất cả cácứng dụng mà họ đã quét đã không có một điểm anninh chấp nhận được nào (nghĩa là chúng đều có mộtsố rủi ro).

Đào sâu hơn thì 39%các ứng dụng nguồn mở và 38% các ứng dụng sở hữuđộc quyền đã có một điểm chấp nhật được theoVeracode khi đã ánh xạ đối với 25 Lỗi Lập trình Nguyhiểm Hàng đầu của CWE/SANS (tôi đã nói về danh sáchnày vài tuần trước).

OK sau đó, điều đóchưa phải là tất cả những gì ấn tượng.

Những gì ấn tượngtừ quan điểm của tôi là thời gian chữa trị.

“Các đội dự ánnguồn mở đã chữa trị những chỗ bị tổn thương vềan ninh nhanh hơn tất cả những người sử dụng khác củanền tảng dịch vụ quản lý rủi ro ứng dụng củaVeracode”, Veracode đã nói. “Các ứng dụng nguồn mởchỉ cần 36 ngày từ đề xuất ban đầu để đạt đượcmột điểm an ninh có thể chấp nhận được, so với 48ngày cho những ứng dụng Được phát triển Nội bộ và82 ngày cho các ứng dụng Thương mại”.

Veracode cũng đã lưuý rằng phần mềm nguồn mở đã có ít hơn các cửa hậuvới ít hơn 1% khắp các ứng dụng được quét trongnghiên cứu này. Cái “nhiều con mắt” của sự minh bạchcủa nguồn mở hình như là lý do chủ chốt vì sao khôngcó nhiều cửa hậu trong mã nguồn mở.

Tôi đã thấy và nóivề những nghiên cứu khác qua nhiều năm chỉ ra nhữngmức độ khác nhau của chất lượng mã nguồn mở nhưngthời gian cho sự chữa trị thường là những con sốthống kê khi mà nguồn mở đứng một mình. Thực tế làtất cả các phần mềm đều có lỗi, dù nhiều mắt haykhông. Đây là những gì mà các lập trình viên làm màmột khi thứ gì đó được tìm thấy và cách mà nhữngvấn đề này nhanh chóng được sửa mà theo quan điểmcủa tôi là thử nghiệm đúng đắn của chất lượng vàtính hồi phục nhanh của mã nguồn phần mềm.

F-romthe 'Fun Studies' files:

We'veall heard the the cliche that more eyes lead to more secure code whenit comes to open source -- but is it true?

Thelatest attempt to answer that question comes f-rom code scanningvendor Veracode.

TheVeracode study found that in aggregate 58 percent of all applicationsthat they scanned did not have an acceptable security score (meaningthey had some risk).

Diggingdeeper 39 percent of Open Source applications and 38 percent ofcommercial apps did have an acceptable score according to Veracodewhen mapped against the CWE/SANS Top 25 Most Dangerous ProgrammingErrors (I reported on that list a couple weeks ago).

Okthen, that's not all that impressive.

Whatwas impressive f-rom my perspective is the remediation time.

"OpenSource project teams remediated security vulnerabilities faster thanall other users of Veracode's application risk management servicesplatform," Veracode stated. "Open Source applications tookonly 36 days f-rom first submission to reach an acceptable securityscore, compared to 48 days for Internally Developed applications and82 days for Commercial applications."

Veracodealso noted that open source software had fewer backdoors with lessthan 1 percent across scanned applications in the study. The 'manyeyes' of open source transparency is likely the key reason why therearen't more backdoors in open source code.

I'veseen and reported on other studies over the years showing differinglevels of open source code quality but the time to remediation isoften a stats whe-re open source stands alone. Reality is that allsoftware has bugs, many eyes or not. It's what developers do oncesomething is found and how fast those issues are fixed which in myopinion is the true test of software code quality and resilience.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com