SPECIAL ОПРОС

Спецвыпуск: Хакер, номер #069, стр. 069-066-5

СПЕЦ: Почему в открытом Linux больше дыр, чем в открытом BSD?

Александр Антипов:

Количество дыр - величина, зависящая от множества параметров: сложности кода, его длины, профессиональных навыков программистов и т.п. Главная причина в том, что BSD на протяжении множества лет разрабатывается строго определенной командой, а линукс прежде всего разрабатывается огромной армией фанатиков, профессиональный уровень многих из которых очень низок.

Антон Карпов:

Основных причин две. Первая – банальна: Linux просто популярнее BSD. Linux имеет поддержку больших компаний, что немаловажно для многих заказчиков. Вполне логично, что, чем более система распространена, тем более пристальное внимание ей уделяют эксперты по безопасности, да и просто взломщики. Конечно, это не означает, что если, скажем, OpenBSD войдет в каждый дом, то в ней обнаружат критические проблемы вроде RPC DCOM :). Однако, факт остается фактом - чем популярнее и востребованнее система, тем чаще ее ковыряют эксперты по безопасности, и тем чаще в ней находятся проблемы безопасности, ибо они - увы и ах! - есть везде.

Однако, немаловажен и тот факт, что в Linux и *BSD-системах применяются разные модели разработки. FreeBSD разрабатывает узкий круг профессионалов, - это люди, имеющие право внесения изменений в исходные коды системы (commit bit), каждый из которых ответственен за определенную подсистему (maintainer). В проекте также имеется офицер безопасности (security officer), следящий, в том числе, и за высоким уровнем качества программирования. Все важные патчи должны пройти через него, прежде чем будут добавлены в дерево исходных кодов. Что же касается OpenBSD, то здесь все очевидно - проект изначально имеет целью создание самой безопасной ОС на Земле, а, согласно лидеру проекта, Theo de Raadt, «безопасность определяется качеством» (под качеством понимается, конечно, и качество кода). И с этим трудно спорить. Разумеется, такой механизм более инертен, чем «базарная» модель разработки Linux-ядра, когда сотни разработчиков присылают патчи, за качеством кода которых порой никто не следит.

В результате мы имеем такую «вилку». Динамично развивающаяся ОС, подхватывающая поддержку всех новых технологий, но зато имеющая невысокое качество кода, что приводит к обнаружению все новых дыр. Или консервативная система, где на первое место ставится качество выпускаемого продукта, а не его функционал, что снижает вероятность наличия и, соответственно, обнаружения проблем безопасности.

Крис Касперски:

Потому что «открытость» на безопасность практически никак не влияет. Аудит кода (особенно чужого) на предмет безопасности - весьма трудоемкое занятие. И наивно думать, что миллионы экспертов по всему миру не имеют никакого более интересного занятия, чем ковыряться в недрах Linux'а, который развивается весьма стремительно и объединяет как профессионалов, так и пионеров. Причем Linux - это, фактически, только ядро, разрабатываемое одной командой, с более или менее централизованной системой управления, а дистрибутивы клепают все, кто попало и из чего попало. Отсюда и дыры.