¿Qué tan seguro es usar un software de código abierto [cerrado]

Backdoors en código abierto software donde se descubrió, sí.

En términos generales, el código abierto no significa automáticamente que el software es seguro o está libre de errores. Solo recuerda Heartbleed en OpenSSL.

Uno de los principales problemas es que todos podrían echar un vistazo a la fuente, pero a menudo nadie piensa que alguien más lo hizo antes. Por lo tanto, es posible que haya errores o puertas traseras durante mucho tiempo ocultas en algún proyecto.

Otro problema puede ser la complejidad de algunos proyectos, simplemente no es posible que una sola persona vea la fuente y sepa que es segura o no. Necesitaría mucho tiempo para lograrlo. Solo vea la auditoría de seguridad de TrueCrypt por ejemplo.

En este contexto, un problema principal de código abierto es que todos pueden modificar el código y compartir su propio programa. Hay muchos casos de esto, versiones manipuladas de grandes programas de código abierto como Firefox, PhpMyAdmin, etc. El usuario normal de PC no se dará cuenta de que hay algo mal, pero está felizmente usando una gran puerta trasera.

Por lo tanto, el código abierto puede ser un poco más seguro porque, en teoría, todo el mundo puede verificar el código, pero en la práctica, los errores o las puertas traseras pueden no descubrirse durante mucho tiempo. Y, por favor, no me malinterpretes, soy un gran fanático del software de código abierto, pero soy consciente de los riesgos y, por lo tanto, cualquier persona debería hacerlo.

Sí, es posible. El software de código abierto es tan seguro como los procedimientos seguidos para revisar y auditar el código.

No puede asumir que, dado que un paquete de software es de código abierto, alguien realmente se molestó en revisar el código. Cuando usted utiliza software de código abierto, simplemente le brinda la oportunidad de que el código sea revisado por sus pares o algún otro organismo, pero no hay garantía de que realmente suceda. TrueCrypt y OpenSSL ( Heartbleed ) son ejemplos principales en los que una auditoría / revisión del código solo se encargó después de que surgió alguna controversia o exploits a su alrededor.

El problema también es que, debido a la naturaleza informal de la comunidad de código abierto, no hay una credencial o certificación "Este ha sido revisado por pares" en un paquete de código abierto. Por lo general, la primera indicación de que un proyecto ha sido examinado de cerca, sería un informe sobre vulnerabilidades o puertas traseras. Dependiendo de su nivel de paranoia, tendría sentido no confiar de manera implícita en el software de código abierto, sino decidir su nivel de confianza después de una investigación al respecto.

Otro problema podría ser el "Supongo que alguien más lo hizo, ¿por qué debería hacerlo?" problema. Si no hay una revisión formal y todos piensan que alguien más lo hizo, entonces nadie terminará haciéndolo. Esto significa que muchos confían en el software de código abierto basándose en la suposición incorrecta de que "algunas otras personas inteligentes" seguramente lo vieron.

Las razones anteriores, entre otras, son las que llevaron a la creación de The Linux Foundation Core Infrastructure Initiative .

En primer lugar, el software de código abierto se puede ver al revés y se puede comprobar si hay puertas traseras para que el aspecto de "no quedar atrapado" se desmorone al instante. Y como dijo @schroeder, los errores y las fallas pueden crear inseguridades, pero eso no es intencional y, por lo tanto, no es exactamente una puerta trasera.

puede no ser confiable, sí, pero la otra alternativa, la "fuente cercana", la propiedad, en realidad no es confiable. Ahora decidió con sus secretos profesionales, sus proyectos industriales, dejarlos en manos propietarias y sus "amigos del gobierno espía" o permitirles que abran software de código fuente que fue, y es, revisado y auditado por programadores de todo el mundo.

Disculpe mi mal inglés