http://www.informationweek.com/story/showArticle.jhtml?articleID=205600229&cid=RSSfeed_IWK_All

هر چند که این یک واقعیت بدیهی هست اما بر اساس نتایج یک برنامه تحقیقاتی در وزارت امنیت داخلی ایالات متحده که از سال 2006 شروع شده است ، برنامه های Open Source معروف مورد آزمایش نظیر Apache ، PHP ، Perl و ... بطور متوسط در هر 1000 خط کد این برنامه ها یک نقیصه امنیتی وجود دارد و فقط طی مدت یکسالهء این برنامه ، 7826 نقیصه امنیتی توسط تیم بازبینی امنیتی این گروه (http://www.coverity.com) شناسائی شد ...

http://www.informationweek.com/story/showArticle.jhtml?articleID=205600229&cid=RSSfeed_IWK_All


این برنامه به سازمانهای دولتی امریکا توصیه کرده عملکرد پروژه های مورد استفاده را به دقت زیر نظر بگیرند و فقط از راه حلهای Open Source ای استفاده کنند که دارای گواهی های آزمایش و ارزیابی امنیتی هستند . برنامه های Open Source‌ از معادلهای تجاری امن تر نیستند .

http://www.coverity.com/html/press_story54_01_08_08.html

هر چند که این یک واقعیت بدیهی هست اما بر اساس نتایج یک برنامه تحقیقاتی در وزارت امنیت داخلی ایالات متحده که از سال 2006 شروع شده است ، برنامه های Open Source معروف مورد آزمایش نظیر Apache ، PHP ، Perl و ... بطور متوسط در هر 1000 خط کد این برنامه ها یک نقیصه امنیتی وجود دارد و فقط طی مدت یکسالهء این برنامه ، 7826 نقیصه امنیتی توسط تیم بازبینی امنیتی این گروه (http://www.coverity.com/) شناسائی شد ...به نظر شما عدم مدیریت خوب روی پروژهای OpenSource باعث بروز این مشکلات میشه یا عملا OpenSource نوشتن همیشه با باگ همراه هست ؟

این مسئله به نظر من بیشتر به تیم مدیریتی و برنامه‌نویسان اون پروژه OpenSource بستگی داره و صد البته به community که پشت این قضیه هست. هرچقدر برنامه نویس در کاری که انجام میده دقت کمتری به خرج بده سبب ایجاد کد بدتر و امنیتر پایین تر میشه ولی به هرحال این مسئله که مشکلات نرم‌افزارهای OpenSource خیلی سریعتر پیدا می‌شن و خیلی سریعتر رفع میشه سبب میشه که این نرم‌افزارها امنتر به نظر بیان.

راههای پیدا کردن مشکلات نر‌م‌افزارهای OpenSource با دیگر نرم‌افزارها رو مقایسه کنید. در نرم‌افزارهای آزاد حتی امکان این وجود داره که صدها هزار نفر روی نسخه آزمایشی کار کنن و مشکلات رو کشف کنن کاری که روی فایرفاکس انجام میشه ولی هیچ شرکت تجاری قادر نیست این همه نیرو رو استخدام کنه که نرم‌افزارهاش رو تست کنن و اشکالات اون رو پیدا کنن. همه اینها سبب میشه که نرم‌افزارهای OpenSource نه اینکه بدون مشکل برنامه نویسی بشن بلکه مشکلات اونها در مدت زمان کمتری پیدا بشه و سریعتر رفع بشه.

سبب میشه که این نرم‌افزارها امنتر به نظر بیان

خوب همین آزمایش و آماری که روی سایتهای امنیتی هست نشون میده اینطور نیست :)
به نظر اومدن یعنی تصوری که یه عده ای برای عموم ایجاد میکنن یا همون پروپاگاندا . توهم امنیت اپن سورس فقط پروپاگاندا هستش نه واقعیت
در عمل برنامه نویسهای اپن سورس خیلی وقتها کم تجربه تر پروسه های تست این پروژه ها خیلی سطحی تر از برنامه های تجاری هستش به همین علتم وضع امنیتی بدی دارن ! پیدا کردن نقطه ضعف در یه پروژه که چند صد هزار خط هست که کار همه نیست ! مثلا تو اگر پی اچ پی رو میشناسی و برنامه نویسی سی بلدی میتونی نقطه ضعفهای پی اچ پی رو پیدا و رفع بکنی ؟ :) اینکارو فقط تیم خودش انجام میده اگرم کسی vuln پیدا کنه باز خودشون فیکسش میکنن برای محصولات تجاریم همینطوره ....

خوب همین آزمایش و آماری که روی سایتهای امنیتی هست نشون میده اینطور نیست :)
به نظر اومدن یعنی تصوری که یه عده ای برای عموم ایجاد میکنن یا همون پروپاگاندا . توهم امنیت اپن سورس فقط پروپاگاندا هستش نه واقعیت
در عمل برنامه نویسهای اپن سورس خیلی وقتها کم تجربه تر پروسه های تست این پروژه ها خیلی سطحی تر از برنامه های تجاری هستش به همین علتم وضع امنیتی بدی دارن ! پیدا کردن نقطه ضعف در یه پروژه که چند صد هزار خط هست که کار همه نیست ! مثلا تو اگر پی اچ پی رو میشناسی و برنامه نویسی سی بلدی میتونی نقطه ضعفهای پی اچ پی رو پیدا و رفع بکنی ؟ :) اینکارو فقط تیم خودش انجام میده اگرم کسی vuln پیدا کنه باز خودشون فیکسش میکنن برای محصولات تجاریم همینطوره ....

بازم می‌گم مسئله تعداد باگی که پیدا میشه نیست مسئله این هست که این باگها در چه مرحله پیدا شده و چقدر رفع شدن اونها زمان کشیده. اصولا در نرم‌افزارهای آزاد باگها خیلی سریعتر پیدا میشن و مدت زمانی که طول میکشه این باگها رفع بشن و نسخه امنتری ارائه بشه خیلی خیلی کمتر از نرم‌افزارها بسته هست.
شما می‌تونید اینطور فرض کنید که اینها همه پروپاگاندا هست ولی واقعیت چیزی هست که داریم می‌بینیم. آمارها خیلی وقتها با واقعیتها فرق دارن این رو هرکسی که برنامه نویس هست خوب میدونه.


همچین چیزی رو که شما میگید اصلا قبول ندارن برنامه نویس کم تجربه بودن یا نبودن ربطی به نرم‌افزار OpenSource نداره. ضمنا بعضی وقتها برنامه نویسان خیلی با تجربه هم کدهایی می‌نویسن که پر از باگ هست این خاصیت انسان هست که نمی‌تونه بدون خطا باشه خطاهایی که ایجاد میشه حالا به هر دلیلی باید باشن که ثابت بشه این کدها رو انسانها نوشتن نه ماشینها.


ضمنا برای کسی که می‌خواد یک نرم‌افزار رو تست کنه و مشکلات و باگهای امنیتی اون رو پیدا کنه نیاز نیست که چند ده یا صد هزار خط کد رو بخونه. تست نرم‌افزارها فقط با خوندن کد انجام نمیشه راه حلهای مختلفی داره. ضمنا اگه شما مفهمومی به اسم شی گرایی، مستندسازی و معماری نرم‌افزار رو بدونید حتما می‌دونید که برای فهمیدن نحوه عملکرد یک برنامه نیاز نیست که همه کدها اون خونده بشه و هرکسی میتونه بخشی از کد رو بخونه و بازسازی بکنه.



کلا در دنیای نرم‌افزارهای OpenSource بیشتر افراد از روی علاقه اینکارها رو انجام میدن و برای همین نتیجه حاصله خیلی پایدارتر هستش. علاقه نسبت به برنامه نویسی و توسعه نرم‌افزار آزاد چیزی هست که شاید خیلیها نتونن اون رو درک کنن.

همونطوری که تو جواب قبلی گفتم این حرفها پروپاگاندا هست . یکی از نشونه هاش اینه که نمیتونی براش آمار دقیق و مطالعه شده ای ارائه کنی :) مثلا سعی کن به من دو تا آمار کاملا مستقل و جدید رو در مورد دو تا نرم افزار مختلف اپن سورس و رقیب تجاریشو نشون بدی که تائید میکنه حرفتو و نشون میده برنامه های اپن سورس سریعتر فیکس میشن . تو قطعا چنین آماری رو نداری و نمیتونی این ادعا رو اثبات کنی . بقیه مواردی که در مورد امنیت اپن سورس گفته میشه همینجوریه . توهم هست و واقعی نیست چون چیزی که واقعیه آمار و سند داره با عدد و رقم و نمودار :) مثلا اگر تونستی در مورد آپاچی و آی آی اس یا دات نت و جاوا این ادعا رو ثابت کن ( دوباره نرو سراغ فایرفاکس و آی ای چون همون بحث خنده دار قبلی شروع میشه )

برای رفع باگ امنیتی خوندن نموار و مستندات ارزشی نداره . فکر میکنم با این مسئله آشنا نیستی :) برای شناسائی و رفع باگ دقیقا باید خط به خط اون قسمت برنامه رو به دقت بخونی و خیلی خوب با مسائل امنیتی آشنا باشی و چیزی رو تغییر ندی که بقیه قسمتهای برنامه رو از کار بندازه ! بنابراین باگها رو فقط کسائی رفع میکنن که کاملا با برنامه آشنا هستن و تجربه زیادی روش دارن یعنی خود تیم ! اگه دوست داری خلافشو به من ثابت کنی بگو من یه باگ خیلی ساده تو یکی از همین برنامه های اپن سورس رو بهت نشون میدم و تو برام فیکسش کن و کدشو بذار بقیه هم ببینن ، میتونی دیگه نه ؟ :) این توانائی رو افراد خاصی دارن نه چند هزار نفر ! همین افراد هر کدوم روی کار خاصی متمرکز هستن و برای رضای خدا بین پروژه های مختلف نمیگردن باگ فیکس کنن :)

از روی علاقه نوشتن برنامه باعث پایدار تر شدنش نمیشه ! این حرف رو کسی میزنه که چیزی از نرم افزار نمیدونه :)

کاربران illegalyasync (http://barnamenevis.org/forum/member.php?u=41433) و zfarhad2000 (http://barnamenevis.org/forum/member.php?u=30776) :
گویا شما دو نفر تصمیم جدی ای دارید که هر تاپیکی ما در مورد لینوکس و ویندوز و اپن سورس و مسائل مربوطه زدیم یک بحث رو با هم شروع کنید . اینجا بخش اخبار است . قبلا هم به شما نفر تذکر داده شده و مطالبتون حذف شده . به نظرتون گزینه بعدی چی میتونه باشه ؟
لطفا سعی نکنید بجای فعالیت مفید و فنی روی سایت برنامه نویس فقط دنبال تاپیکهائی بگردید که نقش تریبون رو برای حرفهای ناگفتهء شما بازی کنن .