Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Nyílt vagy zárt? Lehet-e valami biztonságos, ha open source?

MEGOSZTÁS

Komoly viták folynak arról, hogy a nyílt vagy a zárt forráskódú megoldások nyújtanak-e jobb védelmet. A rengeteg pró és kontra mellett van egy egyezményes út, ami a két tárbort közelebb hozhatja, amit az ITBN-konferencián is feszegetnek a szakértők.

A nyílt forráskódú, open source szoftverek átláthatósága és közösségi fejlesztési modellje elősegíti a biztonságot, míg a kritikusok szerint éppen ez teszi sebezhetőbbé azokat. A gyártói, zárt forráskódú megoldások viszont titokban tartják a kódot, ami egyesek szerint nagyobb biztonságot nyújt, mások szerint viszont éppen ez a homályos fejlesztési folyamat okozhat rejtett sebezhetőségeket.

Az, hogy melyik oldal mellett tesszük le a voksunkat, sokban függ attól is, hogy melyik iskolát képviseljük. A kiberbiztonságban persze logikus kérdés, hogy lehet-e valami biztonságos, ha open source. 

„Igen is és nem is. Én szeretem használni ezeket a szolgáltatásokat az IT-biztonságban is. Az abszolút mellette szóló érv, hogy maga a termék, a szolgáltatás ingyen van, persze arról azért nem szabad megfeledkezni, hogy a folyamat végére nem nullás számlával zárunk, hiszen legtöbbször a szakember adja a költséget, aki összerakja az adott megoldást”

– mondta Csordás Szilárd, az ITBN kiberbiztonsági szakértője. 

Az implementáció, a testreszabás és a folyamatos karbantartás jelentős erőforrásokat igényelhet, különösen akkor, ha a vállalatnak nincs meg a megfelelő szaktudása. Gyakran előfordul, hogy a kezdeti alacsony összegek hosszú távon magasabb üzemeltetési költségekké válnak, ha a rendszer karbantartásához vagy testreszabásához külön szakembereket kell alkalmazni.

Ezzel szemben a zárt forráskódú megoldásoknál a licencdíjak és a gyártói támogatás költségei gyakran magasabbak lehetnek, de ezek általában előre meghatározottak, és a gyártók által nyújtott támogatás biztosítja, hogy a rendszer folyamatosan frissítve és biztonságosan üzemeltetve legyen.

„Ami a biztonsági hatásfokot illeti, hogy mennyire kapja el a kártékony dolgokat, és a nap végén milyen értéket ad a komplett biztonsági ökoszisztémához, szerintem magas. Igenis jó rendszereket lehet építeni az open sourceból, de azt is fontos megjegyeznem, hogy akkor lesz a lehető legmagasabb a biztonsági hatásfok, ha nem csak kizárólag nyílt forráskódra támaszkodunk. A zárt és a nyílt ötvözete adja a tökéletes mixtúrát”

– osztotta meg véleményét Csordás Szilárd. 

Az, hogy nyílt vagy gyártói, zárt kódokra épülő megoldást választ egy cég, mindig a jelenlegi rendszer és a rendelkezésre álló anyagi erőforrás határozza meg. De nézzük meg, mit ad a nyílt és mit a zárt a vállalatoknak. 

Csordás Szilárd

A nyílt forráskódú megoldások előnyei

Ezen szoftverek egyik legnagyobb vonzereje, hogy bárki hozzáférhet a forráskódhoz, megvizsgálhatja, módosíthatja, és hozzáadhat a fejlesztéshez. Ez a közösségi alapú fejlesztési modell azt jelenti, hogy a hibák és a biztonsági rések gyorsan felfedezhetők és kijavíthatók. A széles körű ellenőrzés lehetősége pedig egyfajta bizalmat is épít: ha a világ legjobb IT-szakemberei hozzáférnek a kódhoz, akkor annak az esélye is nagyobb, hogy gyorsan felismerik és orvosolják a sebezhetőségeket.

Egy másik jelentős előnye, hogy az open source szoftverek általában ingyen elérhetők. Ez különösen vonzó lehet a kisebb vállalatok számára, amelyeknek nincs hatalmas IT-költségvetésük. 

Ugyanakkor a teljes költség nem csupán a szoftver beszerzéséből áll. A nyílt forráskódú megoldások implementálása és karbantartása komoly szakértelmet igényelhet, és ez növelheti az üzemeltetési költségeket. Az open source megoldások biztonságának hatékonysága nagymértékben függ a vállalat IT-csapatának szakértelmétől és erőforrásaitól.

Az örökzöld kérdés: könnyebb feltörni az open source-t?

A nyílt forráskód ellenzői gyakran hangoztatják, hogy mivel a forráskód nyilvános, ez lehetőséget ad a támadóknak arra, hogy könnyebben találjanak sebezhetőségeket. Ez valóban kockázati tényező, de ezen szoftverek közösségi alapú modellje éppen azért működik jól, mert ezek a hibák gyorsan felfedezhetők és kijavíthatók. Ha egy sebezhetőséget felfedeznek, azt a közösség általában gyorsan orvosolja, és a frissítést azonnal elérhetővé teszik.

„Az egész világ láthatja a kódot, így hát hamar kiderül, ha baj van vele. Persze itt is adódhatnak anomáliák, amikor évekig észrevétlen marad egy hiba, ahogy ez nem is olyan rég történt. Ezzel szemben a gyártói megoldásnál, ami zárt forrású, nem látunk bele, hogy mi történik. Egyszerűen meg kell bízni, és el kell hinni, hogy a gyártó úgy fejleszti a termékeit, és a fejlesztők úgy kódolnak, ahogy az a nagykönyvben meg van írva”

– mondta Csordás Szilárd. 

A nyílt forráskódú megoldások tehát nem feltétlenül kevésbé biztonságosak, de az igaz, hogy a kockázatkezelés módja eltérő. Ezeknél a közösségi erőforrásokra és a folyamatos figyelemre van szükség, míg a zártaknál a gyártókra és azok elkötelezettségére támaszkodunk.

Hol segíthet a legtöbbet a kódolásban a mesterséges intelligencia?
Az open source szoftverek átláthatósága és közösségi fejlesztési modellje elősegíti a biztonságot

Mi szól a zárt forráskód mellett?

Ezzel szemben ezek a biztonsági megoldások a gyártók szigorú ellenőrzése alatt állnak. A felhasználók nem láthatják a forráskódot, ami azt jelenti, hogy minden biztonsági vizsgálatot és frissítést nekik kell elvégezniük. A felhasználónak pedig egyetlen dolga van: bizalmat szavazni a szolgáltatónak. 

A gyártók ennek megtartása érdekében jelentős erőforrásokat fektetnek kutatás-fejlesztésbe, ami lehetővé teszi számukra, hogy a legmodernebb technológiákat használják a sebezhetőségek kiküszöbölésére. 

Egy másik előny a gyártói támogatás. Míg az open source-nél legtöbbször a közösség erejében bízhatunk, addig ez esetben a gyártó rendszeres frissítéseket és patcheket biztosít a felhasználók számára. 

Nyílt forráskódú megoldások közösségi alapú frissítései ráadásul lassúak is lehetnek, a gyártók által támogatott zárt forráskódú szoftvereknek általában gyorsabb és strukturáltabb a frissítési ütemterve. Ezzel csökkenthetők az olyan kockázatok, amelyek a frissítések késlekedéséből vagy a közösségi fejlesztési modellből eredhetnek.

A legjobb mindkettőből?

Egyre több vállalat alkalmaz hibrid megközelítést, amely a nyílt és zárt megoldások előnyeit ötvözi. Ez lehetővé teszi számukra, hogy kihasználják a nyílt forráskódú technológiák rugalmasságát és költséghatékonyságát, miközben a gyártói megoldások által biztosított strukturált támogatás és stabilitás előnyeit is élvezhetik.

Például egy cég dönthet úgy, hogy egy nyílt forráskódú naplógyűjtő és elemzőrendszert használ, míg a végpontvédelmet egy zárt forráskódú antivírusszoftver biztosítja. Ez a kombináció lehetővé teszi, hogy az egyes feladatokra a legalkalmasabb eszközöket válasszák, miközben optimalizálják a költségeiket és fenntartják a magas szintű biztonságot.

 

(Kép: pickpik.com, flickr.com)

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!