En liten fråga om öppen källkod

Hej jag har en liten fundering kring säkerheten när det gäller öppen källkod. För dom flesta som
använder operativsystem som har det är ju övrens om att det är bra eftersom man då kan kolla efter säkerhets hål och liknade.

Men nu till min fråga om man nu kan kolla koden och även andra den. Borde det inte finnas en risk för att folk även lägger in elak kod i den också då eftersom den finns tillgänglig för alla? för jag menar det finns ju dom som lägger in elak kod i program och sånt bara för att jävlas. Och hur kan man då vara säker på att dom inte gör det i operativsystemen? lixom bara för att förstöra för det finns ju folk som gillar att göra sånt.

Detta är säkert en dum fråga men jag skulle gärna vilja veta vaför.

Det finns en eller fler utvecklare som ansvarar för utgivandet av programvaran, det är bara de som kan ändra i koden. Om någon annan vill modifiera koden så kan de inte ge ut den officiellt på den officiella sidan eller lägga ut den i ett repository, om de inte har tillåtelse av utvecklaren.
Men visst kan de skicka en skadlig version till någon annan, men då kan de ju lika gärna göra ett eget program.

Det beror vilket öppet källkodsprojekt du syftar på. Om du menar Linux dist. kontrolleras koden innan den läggs in i operativsystemet.
Visst, om en sårbarhet upptäcks drabbar den ALLA som kör just det programmet/operativsystemet, men samtidigt är det mycket lättare att fixa det, och går mycket fortare. När det gäller Windows har ju Microsoft källkoden, vilket gör att om en sårbarhet upptäcks kan endast Microsoft rätta till det. När det gäller Linux som operativsystem finns det tusentals som ständigt kontrollerar källkoden på sin fritid, och om en sårbarhet upptäcks är de ganska snabba med en uppdatering av det specifika paketet.

Alla ändringar som görs av någon okänd person kontrolleras hundratals gånger av tusentals programmerare och användare. Det finns en teoretisk möjlighet att alla de tusentals programmerarna och användarna missar den elaka koden, men det händer inte i praktiken.

När en okänd person lägger till kod hamnar det nämligen inte direkt i operativsystemet; det går igenom flera faser av kontroller innan den får komma in. Det är bara de personerna som är "högst upp i kedjan" som kanske skulle kunna smyga in elak kod utan att någon märker det. För att komma dit upp måste man spendera många, många år med att skriva snäll kod som gör nytta för operativsystemet.

Som jag sa, koden kontrolleras flera gånger om, och jag skulle bedöma risken för att någon "högt uppe i kedjan" skulle lägga in skadlig kod är lika med noll.

Ja jag menar olika linux distar tex ubuntu. Får se om jag fattat detta rätt nu alla kan kolla koden men det är bara vissa som kan ändra den och lägga till ny kod. är det så det funkar?

Om det är så hur har dom valts ut då? och hur vet man att dom som kontrollerar koden innan det läggs till i källkoden kontrollerar den med gott syfte? alltså att dom inte vill att det ska komma in dålig kod i den?

Läs kgrs inlägg här ovan.

Risken finns alltid. Men eftersom koden granskas , så kan man hitta dem.

Vet du t.ex vad Windows innehållet för något? Amerikanska staten har troligen många bakdörrar i Windows, där det avlyssna valfri PC.

Vem som helst kan ta byggstenarna till Linux och GNU applikationer bygga sin egna distribution. Men 100 kan du aldrig vara , man bygga sniffers i switchar.. Det har aldrig varit så lätt övervaka folk som idag, varenda pryl innehåller en kamera och mikron.

Den buggning utrustning man skulle kunna bygga idag men hjälp av smarta mobiltelefon och trådlösa lan , skulle få Ebbe Carlsson hoppa av glädje.

Det fungerar lite olika i olika projekt. I vissa projekt så är det en större grupp medlemmar "högst upp i kedjan" som kontrollerar varandra obarmhärtigt. I andra projekt är det några få medlemmar "högst upp i kedjan" som litar blint på varandras ändringar.

Och i TS fall, när det gäller Ubuntu och Debian hur är det där? Skiljer det sig ifrån projekt som Firefox?

Nej man vet ju inte vad som finns i Windows källkod och det är een av anledningarna till att jag ändå gillar öppen källkod mer.

Tja. Debian hanterar ju tiotusentals program, Firefoxfolket hanterar ett[0]. Varje enskilt paket i Debian har en ansvarig utgivare, plus noll till massvis med intressenter som kontrollerar kod. Men huvuddelen av Debians kodbas är ju ändå tredjeparts - dvs en Debianutvecklare tar ju ett färdigt program, paketerar det, och släpper det i Debian.
M.a.o. så varierar kontrollen avsevärt från paket till paket. Jag är rätt säker på att det skulle vara möjligt att smyga in malware i något av de obskyrare paketen, men såvitt jag vet händer det sällan till aldrig.
Debianutvecklare genomgår f.ö. en någorlunda omständig process för att bli accepterade, men det är ingalunda omöjligt att bli accepterad.

Till TS: Det är inte alls en dum fråga. Det är en oerhört relevant fråga! Förvisso är den hanterad (som redan påpekats i tråden), därför att folk, vist nog, ställt den förut.

[0] Tja, ok, några stycken, om man räknar med att "Firefoxfolket" är Mozilla, och de ger ut lite mer än bara FF, men i alla fall...