teraz som trochu zmateny, kedze ked som sa presne toto, co tu pises, snazil naznacit v poznamke na slacku - tuto diskusiu som pred tym nevidel - tak mam pocit, ze si na to reagoval naopak: teda ze diskusia bola velmi podobna tejto prave citovanej, akurat obratene:
… teda mi tu tiez ide o otazku tej politickej priechodnosti… aby sa za tym ucelom zacalo s miernejsimi poziadavkami - napr. spominane opensource len ako “default”, ale pripustajuce vynimky… kedze proti tomu by sa uz tazsie dalo namietat, lebo ak by bola nejaka namietka, tak to by bola v najhorsom pripade ta vynimka… a neskor by sa mozno prehodnotila aj ona…
a takto by sa dali riesit aj namietky ohladom security, vid. spominane UK-gov, ktore sa tiez este donedavna branilo robit security uplne open:
We don’t publish information about the implementation of the design because it would allow people to create a duplicate and practise hacking it without our being able to detect that activity.
In instances where we don’t publish our code because it fulfils a security enforcing function, we make it available for peer review and subject the code to penetration testing. This involves commissioning security experts to attempt to break into the system to help us identify any areas of weakness and potential improvement.
To, ze dnes uz chcu aj security mat uplne open je pekne, ale neslo to tak lahko, priamociaro a hned…
A navyse sa stale neda uplne povedat, ze by ich povodne vyhrady uplne zmizli, skor tie rizika len zanedbali, kedze tu nie su az tak velke oproti prinosu opensource ako takeho. - Ale nie ze by tam problemy neboli ziadne, ako sa to v tejto teme v niektorych reakciach podla mna prilis idealisticky zlahcuje, napr. aj teraz najnovsie:
Ja tam problem vidim v tom, ze ani velka komunita a pritomnost odbornikov nie je 100% garancia bezpecnosti.
Historicky asi najznamejsi je Heartbleed - security bug in OpenSSL, ohlaseny prveho aprila 2014 (t.j. este stale pomerne nedavny priklad)… OpenSSL, ktory pouzival skoro kazdy… bug, ktory sa dlhodobo nachadzal na serveroch certifikovanych standardnymi trusted authorities… - a teda to mame aj velku komunitu, aj odbornikov… Heartbleed - Wikipedia
Alebo teraz zrovna zverejneny KRACK priamo hlavneho WiFi security standardu WPA2 a uz duplom jeho siroko pouzivanej open-source implementacie: “The widely used open-source implementation wpa_supplicant, utilized by Linux, Android, and OpenBSD, is especially susceptible”KRACK - Wikipedia
Alebo ina sprava z toho isteho dna: prelomene eID, co sa tyka tak Slovenska ako aj Estonska: eID prelomene?
Bugy, zranitelnosti, rizika… sa vyskytuju prakticky vsade este stale - a ani velke komunity a ani odbornici voci nim este stale nie su imunni…
Takze hoci opensource je aj v bezpecnosti asi najefektivnejsie prinosny koncept z pohladu “evolucie”: kedze vdaka vacsej verejnej kontrole, a tomu, ze do toho vidi viac ludi, sa lepsie vychytavaju bugy a predchadza potencialnym problemom, cim sa - z dlhodobeho hladiska - najefektivnejsie zvysuje kvalita…
ALE z hladiska aktualneho (nie dlhodobeho) je spominana vyhoda lahsieho najdenia bugu (vdaka vacsiemu poctu ludi, etc) zaroven aj vacsim rizikom, ze ten bug ako prvy najde potencialny utocnik, ktory by to zneuzil…
Preto by som to nezjednodusoval tak absolutne, ze tam so security nie je absolutne ziaden problem: ale skor by som povedal, ze to riziko utokov by pri projektoch vyvijanych velkou open-source komunitou bolo len male a hlavne (pri klasickych statnych projektoch) nie az tak vazne - ako by to bolo v pripade spominanej armady ci tajnych sluzieb (zatial co klasicke statne zakazky nie su tak haklive: chyba by tam nemala vazne ohrozit stat, a su kontrolne aparaty na opravy pripadnych chyb, utokov, atd.: a ak by unikli nejake info, tak tie tiez nie su az take zaujimave: iba ze by slo o nekalosti nejakeho politika: ale to unika uz aj teraz a tiez to nie je az taky problem) - zatial co vyhody, ktore opensource prinasa, su dostatocne lepsie, aby bolo vyhodnejsie ist touto cestou. To je vsetko .