Je odprto res bolj varno?
V majski številki smo objavili članek z naslovom "Znova: odprta koda, da ali ne?", v katerem smo predstavili večno problematiko odprte kode v javni upravi - torej, ali lahko z uvajanjem naveze Linux/FOSS (konkretno Linux/OpenOffice) država prihrani zajeten kupček denarja, ki bi sicer v obliki licenc odtekel k Microsoftu. Pa je ceneje v resnici tudi bolj varno?
V članku je avtor - glede na večinoma pozitivne izkušnje iz tujine - menil, da lahko država s pravilno zastavljenim projektom na dolgi rok veliko prihrani, obenem pa se reši Microsoftove odvisnosti. Popolna zmaga torej.
Če pogledamo na vse skupaj z nekoliko drugačnega zornega kota, je slika precej drugačna. Začnimo s pripombo na legendarno izjavo Eric S. Raymonda iz FOSS biblije "The cathedral and the bazaar", ki se je privrženci odprtokodnega krila oklepajo kakor pijanec plota in jo je v svojem članku navedel tudi sam avtor: "... v odprtokodnih programih so luknje lažje in hitreje odkrite, saj jih ves čas išče veliko oči." Ta izjava preprosto ne drži in je, milo rečeno, zavajajoča. Testiranje z vpogledom v izvirno kodo (white box testing) danes, čeprav je še vedno pomembno, ni več primarni način iskanja varnostnih pomanjkljivosti. Testiranje brez vpogleda v izvirno kodo (black box testing) in testiranje delovanja aplikacije v kaotičnem okolju (fuzzing) dajeta veliko boljše rezultate, pa še dostop do kode ni potreben.
Nadaljevanje in preostanek članka lahko preberete na sledeči povezavi:
