ओपन-सोर्स सॉफ्टवेयर कितना सुरक्षित है?

जब लोग सॉफ़्टवेयर विकल्प चुनते हैं, तो सुरक्षा अक्सर उनकी प्राथमिकता सूची में सबसे ऊपर होती है। और अगर ऐसा नहीं है, तो होना चाहिए! हालांकि, वे आम तौर पर बंद और ओपन-सोर्स सॉफ़्टवेयर के बीच अंतर के बारे में सोचते हैं।

तो ओपन- और क्लोज्ड-सोर्स में क्या अंतर है? क्या ओपन-सोर्स सॉफ्टवेयर वास्तव में सुरक्षित है?

ओपन-सोर्स बनाम। क्लोज्ड-सोर्स सॉफ्टवेयर

लोग ओपन सोर्स सॉफ्टवेयर सभी के लिए स्वतंत्र रूप से उपलब्ध कराते हैं। जनता इसका उपयोग, प्रतिलिपि, परिवर्तन और पुनर्वितरण कर सकती है। साथ ही, जैसा कि नाम से पता चलता है, कोई भी सोर्स कोड देख सकता है।

क्लोज्ड-सोर्स सॉफ़्टवेयर में कड़े सुरक्षा वाले कोड होते हैं जिन्हें केवल अधिकृत लोग ही देख या बदल सकते हैं। लागत में इसका उपयोग करने का लोगों का अधिकार शामिल है, लेकिन केवल अंतिम उपयोगकर्ता के लिए लाइसेंस समझौते की सीमाओं के भीतर।

ओपन-सोर्स विजिबिलिटी में सुरक्षा पेशेवरों और विपक्ष हैं

स्रोत कोड को देखने के लिए किसी की भी क्षमता ओपन-सोर्स सुरक्षा के लिए प्रमुख लाभ लाती है। विकास एक सामुदायिक प्रयास बन जाता है जिसमें दुनिया भर के लोग भाग लेते हैं।

इसका मतलब है कि त्रुटियों को अक्सर देखा जाता है और तेजी से ठीक किया जाता है, अगर केवल व्यक्तियों के बहुत छोटे समूह ने कोड की जांच की।

हालांकि, हैकर्स पहुंच को भुनाना ओपन-सोर्स कोड का भी। वे इसका इस्तेमाल हमलों की योजना बनाने या कमजोरियों पर ध्यान देने के लिए कर सकते थे।

ओपन-सोर्स सॉफ़्टवेयर में सुधार करने में वास्तविक रुचि रखने वाले डेवलपर्स उन्हें मिलने वाली समस्याओं का समाधान करते हैं या कम से कम किसी ऐसे व्यक्ति को समस्याओं की रिपोर्ट करते हैं जो उनसे निपटने के लिए कौशल रखते हैं। दुर्भावनापूर्ण इरादों वाला कोई भी व्यक्ति आशा करता है कि चीजें यथासंभव लंबे समय तक किसी का ध्यान नहीं जाएंगी।

ये वास्तविकताएँ साइबर सुरक्षा पेशेवरों को चेतावनी देती हैं कि ओपन-सोर्स सॉफ़्टवेयर संगठनों को जोखिम में डाल सकता है। एक मुद्दा यह है कि अपराधी कोड को देख सकते हैं और उसमें खतरनाक सामग्री डाल सकते हैं। वैकल्पिक रूप से, वे पक्ष कंपनियों को लक्षित कर सकते हैं जिनके पास सख्त अभ्यास नहीं हैं पर्याप्त आवृत्ति के साथ सॉफ्टवेयर पैच डाउनलोड करने के लिए।

चूंकि ओपन-सोर्स सॉफ़्टवेयर के पास इसका प्रबंधन करने वाला कोई केंद्रीय प्राधिकरण नहीं है, इसलिए किसी के लिए यह जानना मुश्किल है कि कौन से संस्करण सबसे अधिक बार उपयोग किए जाते हैं। शीर्षकों को इतनी बार अपडेट किया जा सकता है कि किसी संगठन की आईटी टीमों को यह एहसास नहीं होता कि उनके पास गंभीर सुरक्षा मुद्दों के साथ एक पुराना संस्करण है।

तृतीय-पक्ष सॉफ़्टवेयर लाइब्रेरी ओपन-सोर्स सुरक्षा जोखिम उत्पन्न करती हैं

डेवलपर अक्सर समय बचाने के लिए तृतीय-पक्ष सॉफ़्टवेयर लाइब्रेरी का उपयोग करते हैं। वे मूल प्रदाता के अलावा किसी अन्य इकाई द्वारा विकसित पुन: प्रयोज्य घटक हैं। एक फायदा यह है कि वे पूर्व-परीक्षण किए गए कोड के उपयोग की अनुमति देते हैं।

उपयोग के मामलों की एक विस्तृत श्रृंखला के लिए लोकप्रिय पुस्तकालयों का परीक्षण कई वातावरणों में किया जाता है। उपयोग की प्राकृतिक आवृत्ति का अर्थ है कि बग अक्सर रिपोर्ट किए जाते हैं। हालांकि, इसका मतलब यह नहीं है कि ओपन-सोर्स सॉफ़्टवेयर से जुड़े लोगों पर चर्चा करते समय भी तीसरे पक्ष के सॉफ़्टवेयर पुस्तकालयों में बेहतर सुरक्षा होती है।

एक अध्ययन पाया गया कि, लगभग 80 प्रतिशत मामलों में, ओपन-सोर्स सॉफ़्टवेयर के लिए तृतीय-पक्ष लाइब्रेरी डेवलपर्स द्वारा कोडबेस में जोड़ने के बाद अपडेट नहीं होते हैं। अध्ययन में शामिल शोधकर्ताओं ने आगाह किया कि कैसे अद्यतनों की कमी के नॉक-ऑन प्रभाव हो सकते हैं।

कुछ नवीनतम और व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर शीर्षक विकास के दौरान तृतीय-पक्ष सॉफ़्टवेयर लाइब्रेरी पर निर्भर करते हैं। एक दोष समस्याग्रस्त पुस्तकालय से जुड़े सभी उत्पादों को प्रभावित कर सकता है। एक और चिंताजनक खोज यह है कि सर्वेक्षण किए गए एक चौथाई से अधिक डेवलपर्स तीसरे पक्ष के पुस्तकालयों का चयन करने के लिए उपयोग की जाने वाली किसी भी औपचारिक प्रक्रिया से अनजान या अनिश्चित थे।

सम्बंधित: एक शून्य दिवस शोषण क्या है और हमले कैसे काम करते हैं?

हालाँकि, अध्ययन से एक सकारात्मक निष्कर्ष यह निकला कि सॉफ़्टवेयर अद्यतन तृतीय-पक्ष सॉफ़्टवेयर पुस्तकालयों में 92 प्रतिशत दोषों को ठीक करते हैं। इसके अतिरिक्त, 69 प्रतिशत अपडेट के लिए केवल एक मामूली संस्करण परिवर्तन या कुछ कम व्यापक की आवश्यकता होती है।

इससे भी अधिक आशाजनक यह था कि डेवलपर्स एक घंटे में इनमें से 17 प्रतिशत खामियों को ठीक कर सकते हैं। इसका मतलब है कि इन ओपन-सोर्स लाइब्रेरी मुद्दों को संबोधित करना हमेशा अत्यधिक समय-गहन या जटिल नहीं होता है।

बग समाधान गति ओपन-सोर्स सुरक्षा को कैसे प्रभावित करती है

निम्न में से एक पुराने सॉफ्टवेयर के साथ मुख्य मुद्दे यह है कि यह उपयोगकर्ताओं को संभावित सुरक्षा दोषों के जोखिम में छोड़ देता है। एक आदर्श दुनिया में, डेवलपर्स सॉफ्टवेयर के जनता तक पहुंचने से पहले सभी बगों को नोटिस करेंगे और उन्हें ठीक करेंगे। हालाँकि, यह एक अवास्तविक लक्ष्य है।

अगला सबसे अच्छा विकल्प कमजोरियों के स्पष्ट होने के तुरंत बाद सॉफ्टवेयर पैच जारी करना है। सुरक्षा शोधकर्ता अक्सर बंद-स्रोत सॉफ़्टवेयर के प्रदाताओं को उन समस्याओं के बारे में सचेत करते हैं जिन्हें त्वरित सुधार की आवश्यकता होती है। हालांकि, उन उत्पादों को विकसित करने वाले लोग वरिष्ठों द्वारा चुने गए रिलीज शेड्यूल का पालन करते हैं।

निर्णय लेने वाले हमेशा सभी कमजोरियों को प्राथमिकता नहीं देते हैं। कुछ प्रारंभिक पहचान होने के बाद महीनों या वर्षों तक बिना बताए रह जाते हैं। एक संबंधित मुद्दा यह है कि कई डेवलपर्स अत्यधिक या असंतुलित कार्यभार के साथ संघर्ष करते हैं जो कि सबसे अच्छे इरादों के साथ, बग को जल्दी से ठीक करने की उनकी क्षमता को गंभीर रूप से सीमित कर सकते हैं।

एक और सर्वेक्षण पाया गया कि 38 प्रतिशत डेवलपर्स अपने उपलब्ध समय का एक चौथाई सॉफ्टवेयर बग्स को ठीक करने में लगाते हैं। लगभग 26 प्रतिशत उत्तरदाताओं ने कहा कि इस कार्य में उनके आधे कार्यदिवस लगते हैं। एक और आंख खोलने वाली खोज यह थी कि 32 प्रतिशत डेवलपर्स प्रति सप्ताह 10 घंटे तक कोड लिखने के बजाय बग्स को ठीक करने में खर्च करते हैं।

समस्याग्रस्त कोड जारी करने से बचने के लिए डेवलपर्स कई सावधानियां बरतते हैं। उदाहरण के लिए, से कवरेज ब्लू सेंट्री चर्चा की गई कि कैसे एक सैंडबॉक्स डेटाबेस उत्पादन वातावरण का एक दर्पण संस्करण देता है और कोई भी वर्तमान परिनियोजन चक्र परिवर्तन।

वेब विकास पेशेवर बिना किसी बड़े प्रतिकूल परिणाम के चीजों को सीख और परीक्षण कर सकते हैं जो पूरी टीम को प्रभावित करते हैं। लेकिन बग अभी भी होते हैं।

चूंकि ओपन-सोर्स सॉफ़्टवेयर में संपूर्ण विकास समुदाय इसे सुधारने के लिए काम कर रहे हैं, इसलिए एक उच्च है मौका है कि सही कौशल और शेड्यूल उपलब्धता वाला कोई व्यक्ति बग को लक्षित कर सकता है और उसे प्राप्त कर सकता है स्थिर। इसका मतलब यह हो सकता है कि ज्ञात कमजोरियाँ तब तक दूर नहीं रहतीं जब तक कि वे एक बंद-स्रोत सॉफ़्टवेयर शीर्षक के साथ हो सकती हैं।

सॉफ्टवेयर निर्भरता तब मौजूद होती है जब एक ऑपरेटिंग सिस्टम काम करने के लिए दूसरे पर निर्भर करता है। जब ओपन-सोर्स सॉफ़्टवेयर की बात आती है, तो परिवर्तन की तेज़ गति अक्सर डेवलपर्स के लिए यह समझना मुश्किल कर देती है कि क्या उनकी कोई निर्भरता पुराने संस्करणों से संबंधित है।

हालाँकि, Google ने हाल ही में एक वेब-आधारित विज़ुअलाइज़ेशन टूल जारी किया है जिसे ओपन सोर्स इनसाइट्स उस समस्या का समाधान करने के लिए। यह उपयोगकर्ताओं को एक सॉफ्टवेयर पैकेज से जुड़े घटकों का एक सिंहावलोकन देता है।

चूंकि जानकारी में निर्भरता और उनकी संपत्तियों के बारे में विवरण शामिल हैं, इसलिए विकास पेशेवरों को इस बात का स्पष्ट विचार मिलता है कि क्या पुराना ओपन-सोर्स सॉफ़्टवेयर बाद में समस्या पैदा कर सकता है।

निर्भरता ग्राफ को देखने के अलावा, लोग एक तुलना उपकरण का उपयोग कर सकते हैं जो दिखाता है कि विभिन्न पैकेज संस्करण निर्भरता को कैसे प्रभावित कर सकते हैं। कभी-कभी, कोई नया सुरक्षा समस्या का समाधान करता है। इस टूल की पेशकश करके, Google का लक्ष्य डेवलपर्स के लिए ओपन-सोर्स सॉफ़्टवेयर का उपयोग करने के तरीके के बारे में अधिक जागरूक होना आसान बनाना है।

उस नए ज्ञान के होने से सुरक्षा और समग्र उपयोगिता में सुधार हो सकता है।

ओपन-सोर्स सॉफ्टवेयर: कुल सुरक्षा समाधान नहीं

यह सिंहावलोकन दिखाता है कि क्लोज-सोर्स सॉफ़्टवेयर की तुलना में ओपन-सोर्स सॉफ़्टवेयर हमेशा सबसे सुरक्षित विकल्प क्यों नहीं होता है। बहरहाल, ओपन-सोर्स सॉफ़्टवेयर के बारे में भी बहुत सारी अच्छी बातें हैं।

जो लोग व्यक्तिगत कारणों से या अपने संगठनों के भीतर इसका उपयोग करने का इरादा रखते हैं, उन्हें किसी निर्णय पर पहुंचने के लिए पेशेवरों और विपक्षों को तौलना चाहिए।

विंडोज़ के लिए 6 सर्वश्रेष्ठ ओपन-सोर्स ऐप्स

विंडोज के लिए मुफ्त ओपन-सोर्स ऐप्स खोज रहे हैं? यहां कुछ बेहतरीन सॉफ्टवेयर दिए गए हैं जिन्हें आप इंस्टॉल कर सकते हैं।

आगे पढ़िए

लेखक के बारे में