Keamanan Perangkat Lunak Open Source

Keamanan perangkat lunak open source adalah ukuran dari jaminan atau garansi dalam kebebasan dari bahaya dan melekat pada risiko perangkat lunak open-source sistem.

Ada perdebatan tentang apakah perangkat lunak open-source meningkatkan keamanan perangkat lunak atau merugikan keamanan. Argumen di kedua sisi benar-benar subyektif dan tidak ada hubungan antara jumlah kerentanan dalam aplikasi dan status open-source/proprietary yang telah diamati. Faktor-faktor yang signifikan tampaknya lebih sepanjang garis usia aplikasi, tingkat pendidikan pengembang, jumlah pengembang / penguji, tujuan proyek, dan kode kompleksitas.

Manfaat keamanan open-source

Lebih banyak orang dapat memeriksa kode sumber untuk menemukan dan memperbaiki kerentanan mungkin. Perangkat lunak berpemilik memaksa pengguna untuk menerima tingkat keamanan yang vendor perangkat lunak bersedia untuk memberikan dan menerima tingkat yang patch dan update yang dirilis.

Pengguna akhir kode open-source memiliki kemampuan untuk mengubah dan memodifikasi sumber untuk mengimplementasikan tambahan "fitur" keamanan mereka mungkin ingin untuk penggunaan tertentu, yang dapat memperpanjang ke tingkat kernel jika mereka menghendaki.

Hal ini diasumsikan bahwa setiap compiler yang digunakan menciptakan kode yang dapat dipercaya, tetapi telah ditunjukkan oleh Ken Thompson bahwa kompilator dapat ditumbangkan menggunakan eponymous Thompson hack untuk membuat executable rusak yang tanpa disadari dihasilkan oleh pengembang bermaksud baik. Dengan akses ke kode sumber untuk kompilator, pengembang memiliki setidaknya kemampuan untuk menemukan apakah ada mal-niat.

David A. Wheeler menunjukkan bahwa keberadaan dua self-kompilasi compiler open-source yang berbeda (yang harus mampu menyusun satu sama lain) dapat digunakan untuk membangun biner untuk salah satu dari mereka yang dikenal tidak akan digerogoti oleh Thompson hack .

Prinsip Kerckhoffs ' didasarkan pada gagasan bahwa musuh bisa mencuri sistem militer aman dan tidak dapat kompromi informasi. Ide-idenya adalah dasar bagi banyak praktik keamanan modern, dan diikuti bahwa keamanan melalui ketidakjelasan adalah praktek yang buruk.

Kelemahan keamanan open-source

Semua orang memiliki akses ke kode sumber, termasuk penyerang potensial. Setiap kerentanan unpatched dapat digunakan oleh penyerang.

Cukup membuat kode sumber yang tersedia tidak menjamin ulasan. Sebuah contoh yang baik dari ini adalah ketika terjadi Marcus Ranum , seorang ahli desain sistem keamanan dan implementasi, dirilis toolkit firewall publik pertamanya. Pada satu titik waktu, ada lebih dari 2.000 situs menggunakan toolkit-nya, tetapi hanya 10 orang memberinya umpan balik atau patch.

Memiliki sejumlah besar mata meninjau kode dapat "menidurkan pengguna ke dalam rasa aman palsu".  Memiliki banyak pengguna melihat kode sumber tidak menjamin bahwa kelemahan keamanan akan ditemukan dan diperbaiki.

Metrik dan model

Ada berbagai model dan metrik untuk mengukur keamanan sistem. Ini adalah beberapa metode yang dapat digunakan untuk mengukur keamanan sistem perangkat lunak.

Jumlah hari antara kerentanan

Dikatakan bahwa sistem adalah yang paling rentan setelah potensi kerentanan ditemukan, tapi sebelum patch dibuat. Dengan mengukur jumlah hari antara kerentanan dan ketika kerentanan adalah tetap, dasar dapat ditentukan pada keamanan sistem. Ada beberapa keberatan terhadap pendekatan seperti: tidak setiap kerentanan juga sama buruknya, dan memperbaiki banyak bug cepat mungkin tidak lebih baik daripada hanya menemukan sedikit dan mengambil sedikit lebih lama untuk memperbaikinya, dengan mempertimbangkan sistem operasi, atau efektivitas perbaikan.

Proses Poisson

The proses Poisson dapat digunakan untuk mengukur tingkat di mana orang yang berbeda menemukan kelemahan keamanan antara perangkat lunak sumber terbuka dan tertutup. Proses ini dapat dipecah dengan jumlah relawan N v dan dibayar para pengulas N p. Tingkat di mana relawan menemukan cacat diukur dengan λ v dan tingkat yang dibayar para pengulas menemukan cacat diukur dengan λ p. Waktu yang diharapkan bahwa kelompok relawan diharapkan dapat menemukan cacat adalah 1 / (N v λ v) dan waktu yang diharapkan bahwa kelompok yang dibayarkan diharapkan untuk menemukan cacat adalah 1 / (N p λ p).

Model Morningstar

Dengan membandingkan berbagai macam open source dan closed source proyek sistem bintang dapat digunakan untuk menganalisis keamanan proyek mirip dengan bagaimana Morningstar, Inc tarif reksa dana. Dengan satu set data yang cukup besar, statistik dapat digunakan untuk mengukur efektivitas keseluruhan satu kelompok atas yang lain. Salah satu contoh seperti sistem adalah sebagai berikut: 

1 Star: Banyak kerentanan keamanan.

2 Bintang: masalah Keandalan.

Bintang 3: Mengikuti praktik keamanan terbaik.

4 Bintang: terdokumentasi proses pembangunan aman.

5 Bintang: Lulus peninjauan keamanan independen.