Open source - nech môže pomôcť každý

3 Likes

Pri Open Source projektoch je problém so security v tých prípadoch ak má malú komunitu, resp. nie je realizovaný odborníkmi v danej oblasti. Ináč problém v Open Source vs. security nevidím.

teraz som trochu zmateny, kedze ked som sa presne toto, co tu pises, snazil naznacit v poznamke na slacku - tuto diskusiu som pred tym nevidel - tak mam pocit, ze si na to reagoval naopak: teda ze diskusia bola velmi podobna tejto prave citovanej, akurat obratene:

Slack

… teda mi tu tiez ide o otazku tej politickej priechodnosti… aby sa za tym ucelom zacalo s miernejsimi poziadavkami - napr. spominane opensource len ako “default”, ale pripustajuce vynimky… kedze proti tomu by sa uz tazsie dalo namietat, lebo ak by bola nejaka namietka, tak to by bola v najhorsom pripade ta vynimka… a neskor by sa mozno prehodnotila aj ona…

a takto by sa dali riesit aj namietky ohladom security, vid. spominane UK-gov, ktore sa tiez este donedavna branilo robit security uplne open:

We don’t publish information about the implementation of the design because it would allow people to create a duplicate and practise hacking it without our being able to detect that activity.

In instances where we don’t publish our code because it fulfils a security enforcing function, we make it available for peer review and subject the code to penetration testing. This involves commissioning security experts to attempt to break into the system to help us identify any areas of weakness and potential improvement.

To, ze dnes uz chcu aj security mat uplne open je pekne, ale neslo to tak lahko, priamociaro a hned…

A navyse sa stale neda uplne povedat, ze by ich povodne vyhrady uplne zmizli, skor tie rizika len zanedbali, kedze tu nie su az tak velke oproti prinosu opensource ako takeho. - Ale nie ze by tam problemy neboli ziadne, ako sa to v tejto teme v niektorych reakciach podla mna prilis idealisticky zlahcuje, napr. aj teraz najnovsie:

Ja tam problem vidim v tom, ze ani velka komunita a pritomnost odbornikov nie je 100% garancia bezpecnosti.

Historicky asi najznamejsi je Heartbleed - security bug in OpenSSL, ohlaseny prveho aprila 2014 (t.j. este stale pomerne nedavny priklad)… OpenSSL, ktory pouzival skoro kazdy… bug, ktory sa dlhodobo nachadzal na serveroch certifikovanych standardnymi trusted authorities… - a teda to mame aj velku komunitu, aj odbornikov… Heartbleed - Wikipedia

Alebo teraz zrovna zverejneny KRACK priamo hlavneho WiFi security standardu WPA2 a uz duplom jeho siroko pouzivanej open-source implementacie: “The widely used open-source implementation wpa_supplicant, utilized by Linux, Android, and OpenBSD, is especially susceptible” KRACK - Wikipedia

Alebo ina sprava z toho isteho dna: prelomene eID, co sa tyka tak Slovenska ako aj Estonska: eID prelomene?

Bugy, zranitelnosti, rizika… sa vyskytuju prakticky vsade este stale - a ani velke komunity a ani odbornici voci nim este stale nie su imunni…

Takze hoci opensource je aj v bezpecnosti asi najefektivnejsie prinosny koncept z pohladu “evolucie”: kedze vdaka vacsej verejnej kontrole, a tomu, ze do toho vidi viac ludi, sa lepsie vychytavaju bugy a predchadza potencialnym problemom, cim sa - z dlhodobeho hladiska - najefektivnejsie zvysuje kvalita…

ALE z hladiska aktualneho (nie dlhodobeho) je spominana vyhoda lahsieho najdenia bugu (vdaka vacsiemu poctu ludi, etc) zaroven aj vacsim rizikom, ze ten bug ako prvy najde potencialny utocnik, ktory by to zneuzil…

Preto by som to nezjednodusoval tak absolutne, ze tam so security nie je absolutne ziaden problem: ale skor by som povedal, ze to riziko utokov by pri projektoch vyvijanych velkou open-source komunitou bolo len male a hlavne (pri klasickych statnych projektoch) nie az tak vazne - ako by to bolo v pripade spominanej armady ci tajnych sluzieb (zatial co klasicke statne zakazky nie su tak haklive: chyba by tam nemala vazne ohrozit stat, a su kontrolne aparaty na opravy pripadnych chyb, utokov, atd.: a ak by unikli nejake info, tak tie tiez nie su az take zaujimave: iba ze by slo o nekalosti nejakeho politika: ale to unika uz aj teraz a tiez to nie je az taky problem) - zatial co vyhody, ktore opensource prinasa, su dostatocne lepsie, aby bolo vyhodnejsie ist touto cestou. To je vsetko :slight_smile:.

(P.S.: Ospravedlnujem sa za velku dlzku textu… :frowning: )…

1 Like

@stakac
Ten komentar tu bol pisany vo februaru a aprili.
Diskusia na Slacku prebehla o pol roka neskor v septembri.
Stratil som styri minuty skumania toho, preco tvoj komentar nedava zmysel a uz mi ich nik nevrati.

  1. Stale som za open-source na government projektoch.
  2. Stojim si za tym, ze security through obscurity je kravina.
  3. Myslienka musi mat prislusnu formu a ja sa v tvojej opat stracam, tak radsej closnime tuto debatu. Som extremne vytazeny clovek. Dakujem za pochopenie!
1 Like

ved prave… keby to bolo v opacnom casovom poradi, tak by mi to este davalo rozumnu logiku - nieco ako postupne nadobudnutie realistickejsieho pohladu na sucasny stav ministerstva a pod… nez ked je to v opacnom poradi… kedze sme hovorili o forme ako opensource dostat do legislativy… kde - ako vravis:

a to bola aj moja vyhrada voci tej kampani, ktora bola vtedy linkovana na slacku, konkretne: https://publiccode.eu - lebo takto jednoducho podana kampan, aby sa legislativne uzakonnilo, ze VSETKO ma byt opensource: takto politika nefunguje: a hlavne u nas nie, pri aktualnom zlozeni vlady uz vonkoncom… sanca ze takouto kampanou nieco na Slovensku presadis je prakticky nulova…

Ale to by bolo skor na samostatnu diskusiu: ako otazku opensource predlozit politikom tak, aby to malo co najvacsiu sancu prejst… - lebo uvedeny typ kampane taky nie je…

Ani reakcia typu: “Stojim si za tym, ze security through obscurity je kravina”… nevidim dovod, co sa v tejto oblasti od aprila zmenilo na tom, co si vtedy pisal aj sam, ze cez ministerstvo takyto typ argumentacie neprejde…

Mne nemusis hovorit, ze “stale som za open-source na government projektoch” - kedze to som aj ja… to sme tu asi vsetci, predpokladam…

… ale ak chceme, aby to preslo aj v parlamente, tak treba zacat priechodnejsimi poziadavkami…

a tym je podla mna opensource len ako default - t.j. pripustajuc vynimky v specialnych odvodovnenych pripadoch… to je formulacia, ktora ma skor sancu prejst… - a ak to prejde, potom mozeme hovorit o tom, ako by sa tie vynimky dali postupne okresavat na minimum, alebo mozno aj na nulu: to ukaze cas…

To sa aj v tejto teme spominalo, ze chce USA, kladuc si otazku:

“Would an “open source by default” approach that required all new Federal custom code to be released as OSS, subject to exceptions for things like national security, be more or less effective in achieving the goals above?”

Existenciu vynimiek si spominal aj v tom septembri (“jediny racionalny argument mozu mat institucie pracujuce s tajnymi procesmi (informacna sluzba a rozvietka / armada”) - a urcite by s takymto postojom prislo aj ministerstvo - ako si sam poznamenal v tom aprili…

Preto ja myslim (aj z toho, co v tomto vlanke odznelo), ze je prirodzenejsie otazku uzavriet tak, ze by bolo priechodnejsie najprv od statu ziadat, aby bol opensource aspon ako preferovanejsia alternativa, alebo ako defaultna moznost s vynimkami len v odovodnenych pripadoch… - a nie spisovat peticie, ktore by chceli hned VSETKO (co by bolo na Slovensku obzvlast nerealizovatelne)…

Dokonca by mozno nebolo potrebne ani nic s politikmi riesit: ak by sa samotne opensource komunity zacali uchadzat o statne zakazky a vdaka vyhodam, ktore opensource pristup ma, by dokazali pracovat efektivnejsie a tak by vyhrali: a opensource by si tak presadili aj sami: aj bez toho, ze by ich k tomu stat nutil… a mohli by do toho zapajat univerzity, medzinarodnu spolupracu, atd…

Aj to by opat bolo realistickejsie nez si mysliet, ze sa nasa sucasna vlada bude riadit nejakou jedno-vetovou online peticiou…

Z materialu aktualne v MPK vyberam: https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/734

2 Likes

tak este tam doplnit zverejnovanie zdrojovych kodov

1 Like

IIRC na niektorej PS padlo cosi typu “vladny github” ale nespomeniem si a neviem najst. @Lubor?

Sem niekto neskocite?

https://twitter.com/tomskitomski/status/1093418164803772417

Nahodny okoloiduci frontendista vylepsuje gov.uk lebo je to opensource.

Ach, keby nebol, mohol byť change request :wink:

2 Likes

Nic sa nedeje len AUS prave forkla cely projekt Gov.uk Notify a nasadila do produkcie u nich.

https://twitter.com/yahoo_pete/status/1141231792000839680

3 Likes