На самом деле нет! И ответ этот - весьма очевиден. Ведь вся безопасность открытого кода строится на том, что он открыт, а значит любой желающий может проверить его. И большинство людей полагают, что кто-то более умный и талантливый, наверняка проверит код программы или дистрибутива и забьет тревогу, если там будет обнаружено что-то опасное.
При этом сообщество свято верит в непогрешимость себя любимого и полную непредвзятость и этичность проверяющих. Однако - это не всегда так!
Именно поэтому, безопаснее всего использовать дистрибутивы крупных компаний, поскольку у них есть и средства и силы, для поддержания должного уровня защиты. Будь то дополнительная проверка кода или создание серьезной современной цифровой инфраструктуры с высоким уровнем безопасности. К тому же, крупные компании дорожат своей репутацией и не станут рисковать ей. Чего нельзя сказать о более мелких разработчиках...
Я приведу вам два банальных примера.
Популярный дистрибутив Linux Mint, однажды, подвергся атаке. Его сервера взломали и заменили образы только что вышедшей операционной системы на скомпрометированные вирусом аналоги. Подмена была быстро обнаружена, но тысячи пользователей успели таки скачать себе на компьютер дистрибутив с бэкдором.
Причина банальна - недостаточный уровень безопасности сетевой и серверной архитектуры. Такое вряд ли может случится с крупной компанией!
Или все таки может?
В 2021 году, американский университет Миннесоты был лишен возможности принимать участие в разработке кода ядра Linux. А знаете почему? Разработчики из этого высшего учебного заведения, проводили эксперимент - "Небезопасность открытого кода: скрытое внедрение уязвимостей через доверенных разработчиков и их лицемерные правки". От имени университета, команда специалистов отправляла патчи для ядра Linux с вредоносным кодом. И их деятельность раскрыли далеко не сразу.
После этого, Кроа-Хартман, один из ведущих разработчиков Linux, полностью закрыл университету доступ к проекту. За то, что они скомпрометировали код ядра. Разумеется, университет попытался оправдаться, назвав свою деятельность - исключительно исследовательской. Но им ответили:
"Если вы хотите заниматься такой работой, то найдите себе другое сообщество, а тут - вам больше не рады".
Так что безопасность в Linux и СПО - вопрос весьма и весьма спорный. И если вы хотите быть полностью уверенными в дистрибутиве, то лучше всего собрать его целиком и полностью из исходников. Только так можно гарантировать его полную безопасность.
#технологии #linux #open source #линукс
