Amaliyot 15. Ochiq va yopiq kodli dasturlarni yozish usullarini tadqiq etish.
Dastlab, ochiq kodli tizimlar ko‘ngilli dasturchilarning bepul hamkorligi natijasidir. Tugallangan tizimlar yorug‘likda ishlab chiqarilgan va har kim ularni litsenziya to‘lovisiz ishlatishi mumkin. Ushbu tizimlarni qo‘llab-quvvatlash ko‘ngillilar tomonidan pochta ro‘yxatlari va veb-saytlar yordamida amalga oshirildi. Biroq, bugungi kunda mutaxassislar ko‘plab ochiq tizimlarda ishlaydilar, pulli dasturchilar ishlab chiqadilar va tizimni qo‘llab-quvvatlash ham bepul, ham pullik asosda amalga oshirilishi mumkin.
radiatsiyaviy xususiy tizimlar ishlab chiquvchilar, menejerlar, dasturchilar, texnik yozuvchilar va sifatni tekshirish bo‘yicha muhandislardan tashkil topgan yirik jamoalar tomonidan yaratiladi. Bunday tizimlar odatda ko‘plab tekshiruvlar va rasmiy tekshiruvlarga duch keladi. Tugallangan shaklda ular ommaviy pullik foydalanish uchun sotiladigan yoki litsenziyalangan iste’mol tovarlari hisoblanadi. Dasturiy mahsulotni qo‘llab-quvvatlash odatda ishlab chiquvchi tomonidan ta’minlanadi.
Ishonchlilik va xavfsizlik nuqtai nazaridan qaysi model yaxshiroq? Ularning har biri ko‘plab nashrlarda o‘z fikrlarini bildiradigan tarafdorlarga ega. Ushbu nashrlarda taqdim etilgan dalillarni, shuningdek, ochiq va xususiy tizimlarning ishonchliligi va xavfsizligi ko‘rsatkichlarini ko‘rib chiqing.
Ochiq va xususiy tizimlarning ishonchliligi va xavfsizligi
Bugungi kunda ochiq tizimlarning ishonchliligi va xavfsizligi qizg‘in muhokama qilinmoqda. Xususiy etkazib beruvchilar tadqiqotlarni moliyalashtiradi va yopiq kodli tizimlar ularning ochiq hamkorlaridan ko‘ra xavfsizroq ekanligini ko‘rsatadigan hisobotlarni e’lon qiladi. Biroq, bu borada xususiy tizimlarning ustunligini maqtagan har bir hisobot uchun ochiq jamoa "rad etish" hisobotiga javob beradi. Ehtimol, qizg‘in bahs-munozaralarning asosiy sababi shundaki, ochiq modelning keng tarqalishi xususiy dasturiy ta’minot sotuvchilari daromadiga tahdid solmoqda. AQSH qimmatli qog‘ozlar va birja komissiyasi uchun so‘nggi choraklik hisobotlarda, Microsoft, eng yirik dasturiy ta’minot ishlab chiqaruvchilardan biri, ochiq tizimlarni ommalashtirish va tarqatish uning biznes modeli [1] uchun jiddiy tahdid ekanligini ta’kidladi.
Ajablanarlisi shundaki, xususiy dasturiy ta’minot sotuvchilari ochiq tizimlarni obro‘sizlantirishga harakat qilishadi. Bundan tashqari, ochiq va xususiy dasturiy ta’minotning xavfsizligi va ishonchliligi haqida tortishuvlar odatda ikkita asosiy mavzuga to‘g‘ri keladi: manba kodining mavjudligi va dasturiy ta’minotdagi nosozlik darajasi. Ushbu muammolarni muhokama qilamiz.
Manba kodining mavjudligi
2002 yil iyun oyida Microsoft tomonidan qisman moliyalashtirilgan Alexis de Tocqueville instituti [2] ishini nashr etdi. Uning eng bahsli natijalari orasida davlat muassasalarida GPL (General Public License) litsenziyasi bo‘yicha ochiq kodli dasturiy ta’minotdan foydalanish milliy xavfsizlik uchun muammo bo‘lishi mumkin degan xulosaga keldi. Ushbu xulosa uchun asos bu taxmin edi: manba kodining ommaviyligi xakerlarni o‘z zaifliklarini o‘rganish, "troyan otlari" va boshqa zararli dasturlarni ishlab chiqishga undaydi. Manba kodining mavjudligi ochiq dasturiy ta’minotdan foydalangan holda davlat tashkilotlari xavfsizligiga jiddiy tahdid sifatida taqdim etildi.
Bunday xulosa shubhasizdir. YOpiq kodli xususiy tizimlar avtomatik ravishda xavfsizroq (ular "aql bovar qilmaydigan xavfsizlik"deb ataladi). Agar shunday bo‘lsa, yopiq tizimlarda aniqlangan zaifliklar soni ochiq analoglarga qaraganda ancha past bo‘lishi kerak. Biroq, nashr etilgan ma’lumotlarga ko‘ra, ko‘plab ochiq tizimlar o‘zlarining shaxsiy hamkorlariga qaraganda ancha past zaifliklarga ega. Misol uchun, CERT Coordination Center (CERT Coordination Center) xavfsizlik muvofiqlashtiruvchi markazining ma’lumotlariga ko‘ra www.cert.org), ochiq kodli veb-serverda Apache HTTP Server (httpd.apache.org) Microsoft Internet Information serveriga qaraganda sezilarli darajada kamroq zaifliklar aniqlandi va Netscape enterprise serverdan bir oz ko‘proq.
Manba kodini yashirish tizimning xavfsizlik darajasini oshirishga olib kelmaydi. Tajovuzkorlar dasturiy ta’minot kamchiliklarini aniqlash uchun manba kodiga muhtoj emas. Misol uchun, nuqsonlarni topishning keng tarqalgan usuli dasturni kutilmagan yoki g‘ayritabiiy ma’lumotlarni yuborish, so‘ngra tizimning reaktsiyasini kuzatishdir [3]. Agar u rad etsa yoki bunday ma’lumotlarni qayta ishlashda g‘ayritabiiy bo‘lsa, bu keyingi tadqiqotga loyiq bo‘lgan kamchilikni ko‘rsatishi mumkin.
Murakkab asboblarni monitoring qilish, disk raskadrovka va disassemblyatsiyalashning tarqalishi bilan manba kodining aksariyati bajarilayotgan dasturning ikkilik versiyasidan olinishi mumkin. Manba kodini olishni istagan har bir kishi dasturga keng tarqalgan vositalardan birini qo‘llashi kerak. Bunday vositalarning chiqishi, butunlay mukammal bo‘lmasa-da, tizimning ichki tuzilishi haqida fikr olish uchun etarli ma’lumot beradi. Bundan tashqari, manba kodining tez-tez noto‘g‘ri qochishi kuzatiladi va ishlab chiqaruvchilar tashqi manbalar uchun dasturlarni ishlab chiqadilar yoki turli sabablarga ko‘ra manba kodlarini boshqa tashkilotlar bilan almashadilar.
Albatta, ochiq tizimlarning ishonchsizligi misollari bor. Sendmail ochiq pochta dasturida dasturiy nuqsonlar yillar davomida hujumlarning sevimli maqsadi edi. 1988 yil noyabr oyida Cornell universiteti talabasi Robert Morris birinchi Internet qurtini yaratdi [4]. Qisman, sendmail va fingerd dasturlaridagi zaifliklar tufayli Internet orqali tez tarqaldi va kompyuterlarning katta muvaffaqiyatsizliklariga olib keldi. Hisobotlardan biriga ko‘ra, Morris qurtlari 6 ming (60%) Internet tizimidan 10 mingga ta’sir ko‘rsatdi, Morris esa sendmail va finger dasturlarining manba kodini tahlil qilishda ushbu zaifliklarni topdi. SHu bilan birga, manba kodining mavjudligi Internet jamoasiga tahdidga tezda javob berishga va uning oqibatlarini kamaytirishga imkon berdi. [5] qayd: "manba kodining mavjudligi juda muhimdir. Virusning tabiatini tushunishda tezda javob bergan va muvaffaqiyatga erishgan barcha tomonlar UNIX manba kodiga ega bo‘lishdi.
Manba kodining mavjudligi ikki uchida tayoq. Hacker jamoasi zaifliklarni topish uchun kodni tahlil qilishdan foydalanishi mumkin. O‘z navbatida, ishlab chiquvchilar jamoasi kodni qo‘llab-quvvatlash va takomillashtirish, tajovuzkorlardan foydalanishdan oldin dasturiy ta’minot kamchiliklarini aniqlash va tuzatish uchun rasmiylashtirilgan sinov metodologiyasini qo‘llash imkoniyatiga ega. Foydalanuvchilar jamoasi hujumlarni aniqlash va oldini olish uchun manba kodini ishlatishi mumkin, kamchiliklarni aniqlagandan so‘ng zaifliklarni tezda bartaraf etish va yamoqlarni nashr qilish mumkin. YOpiq tizim bilan shug‘ullanadigan iste’molchilar sotuvchining zaifliklarni tezda aniqlash, yamoqlarni ishlab chiqish va tarqatish qobiliyatiga to‘liq bog‘liq.
Bunday holda, keng tarqalgan ochiq tizimlar va ularning shaxsiy analoglari o‘rtasidagi farq tahdidlarga javob berishda manba kodidan foydalanish qiymatida namoyon bo‘ladi. Manba kodining mavjudligi 1988 yilda Morris qurtiga qarshi kurashda tizim ma’murlari uchun juda muhim edi. Texnik xodimlar hujum qilingan tizimlarning manba kodini ko‘rib chiqdilar, zaifliklarni topdilar va muayyan tahdid va kelajakdagi hujumlarga qarshi himoya choralarini ishlab chiqdilar. Manba kodining afzalligi Mitre korporatsiyasining [6] hisobotida, 2001 yil iyul oyida chop etilgan. Ochiq jamiyatda " ommabop ochiq kodli mahsulotlar dasturiy ta’minotning yuqori darajadagi samaradorlikka erishishiga imkon beruvchi keng ko‘lamli ekspertizadan o‘tkaziladi "va dasturiy ta’minot yamoqlari va yamalar"xususiy dasturiy ta’minotga qaraganda tezroq buyurtma berish" bilan izohlanadi.
XULOSA: Ishonchlilik va xavfsizlik nuqtai nazaridan qaysi model yaxshiroq? Ularning har biri ko‘plab nashrlarda o‘z fikrlarini bildiradigan tarafdorlarga ega. Ushbu nashrlarda taqdim etilgan dalillarni, shuningdek, ochiq va xususiy tizimlarning ishonchliligi va xavfsizligi ko‘rsatkichlarini ko‘rib chiqing.
Ochiq va xususiy tizimlarning ishonchliligi va xavfsizligi
Bugungi kunda ochiq tizimlarning ishonchliligi va xavfsizligi qizg‘in muhokama qilinmoqda. Xususiy etkazib beruvchilar tadqiqotlarni moliyalashtiradi va yopiq kodli tizimlar ularning ochiq hamkorlaridan ko‘ra xavfsizroq ekanligini ko‘rsatadigan hisobotlarni e’lon qiladi. Biroq, bu borada xususiy tizimlarning ustunligini maqtagan har bir hisobot uchun ochiq jamoa "rad etish" hisobotiga javob beradi. Ehtimol, qizg‘in bahs-munozaralarning asosiy sababi shundaki, ochiq modelning keng tarqalishi xususiy dasturiy ta’minot sotuvchilari daromadiga tahdid solmoqda. AQSH qimmatli qog‘ozlar va birja komissiyasi uchun so‘nggi choraklik hisobotlarda, Microsoft, eng yirik dasturiy ta’minot ishlab chiqaruvchilardan biri, ochiq tizimlarni ommalashtirish va tarqatish uning biznes modeli [1] uchun jiddiy tahdid ekanligini ta’kidladi.
Do'stlaringiz bilan baham: |