Pendek cerita: Perisian open source dianggap selamat kerana banyak orang boleh lihat dan baiki code di dalamnya, bukan hackers sahaja. Bila software itu open source, sesuatu bug lebih cepat dikesan tapi ini bergantung pada berapa ramai yang benar-benar jaga projek itu.
{tocify} $title={Isi Kandungan}
Bagaimana open source masih selamat jika hackers dapat lihat kod di dalamnya?
Bunyinya macam berisiko bila sesiapa saja boleh tengok code-nya, kan? Bila rekabentuknya terbuka kepada umum, pengguna termasuklah pakar boleh semak dan laporkan apa-apa masalah yang terdapat pada software itu.
Sesuatu sistem yang benar-benar selamat diguna sepatutnya masih kekal selamat walaupun penyerang tahu bagaimana ia berfungsi.
Bayangkan begini:
Sebuah peti besi keselamatan dan blueprint-nya. Orang-orang yang tengok blueprint itu tetap tak dapat buka peti besi tersebut tanpa kuncinya. Tapi daripada blueprint tadi, mereka boleh tunjukkan kelemahan yang ada pada peti besi tu, supaya perekanya boleh memperbaiki sebelum ada sesiapa cuba pecah masuk.
$ads={1}
Lebih banyak orang semak, lebih cepat masalah dijumpai
Masalah yang terdapat dalam sesuatu perisian lebih cepat dijumpa bila banyak orang boleh tengok kodnya. Projek open source yang popular selalunya ada banyak developers dan security researchers yang pantau perubahan.
Maksudnya, jika terdapat bugs, ia biasanya cepat dikesan dan dibetulkan, berbanding software yang bukan open source (closed source software).
Tapi bukan bermakna open source itu selalu selamat
Kod yang public tapi tak ada orang yang pantau, adalah berisiko untuk diguna. Selalunya ini adalah projek open source yang kecil dan tak popular, dibuat oleh 1 atau 2 orang saja. Tanpa orang ramai yang bantu pantau/review, bugs boleh tersembunyi tanpa dikesan sangat lama.
Risiko lain pula, ialah bila ada fake contributors yang perlahan-lahan dan secara senyap memasukkan code berbahaya.
Ataupun sesuatu perisian yang bergantung banyak pada libraries—jika ada suatu kelemahan kecil pada sesuatu library, ia berisiko untuk tersebar kepada banyak projek yang bergantung kepadanya.
Perbandingan antara open source dengan closed source
Closed source (sumber tertutup) bermaksud hanya syarikat pemilik software tersebut yang dapat tengok code. Bila ia tertutup, ia melambatkan penyerang daripada mempelajarinya, tapi ini juga bermakna hanya syarikat tersebut boleh baiki bila ada sesuatu masalah.
Open source (sumber terbuka) memudahkan orang untuk lapor dan baiki bugs. Jadi sesuatu masalah pada software cepat diperbetul, tapi bergantung juga jika ada orang bertindak pada laporan tersebut.
Ada orang tetap memilih untuk guna perisian closed source
Syarikat-syarikat selalunya memilih untuk guna closed source software kerana mereka mahu sokongan pengeluar, jaminan servis, ataupun features yang tak atau belum terdapat pada open source.
Kadang-kadang, perisian closed source lebih sesuai dengan sistem syarikat mereka. Tapi ini tak bermaksud secara default, closed source lebih selamat.
Mungkin anda telahpun banyak guna open source
Contohnya, firefox, VLC, ataupun telefon android anda. Anda mungkin dah guna open source setiap hari.
Bagaimana nak tahu jika sesuatu open source itu selamat diguna
Kita boleh tengok pada beberapa petanda jika sesuatu projek itu dijaga dengan baik:
- Ada updates berkala dan versi baru.
- Pengguna laporkan bugs dan bugs tersebut dibaiki.
- Komunitinya aktif, dan ada issue tracker
- Kod dihos (hosted) di public repo seperti GitHub, dan ada aktiviti yang masih recent
Kalau sesuatu projek itu dah tiada kemas kini setelah bertahun, ataupun macam tak ada orang yang pantau, ia mungkin berisiko untuk diguna.
Bagaimana penjaga/penyelenggara (maintainers) review dan luluskan perubahan code
Projek selalunya ada penjaga dipercayai yang menyemak sumbangan pengguna sebelum menerimanya. Review ini bantu menyekat perubahan berbahaya.
Walaupun ada proses semakan, kesilapan masih boleh berlaku jika penjaga projek terlepas pandang.
Sumber: Reddit