Kuka pelkää avointa koodia?

Yhdysvaltain uutta presidenttiä Barack Obamaa on varoitettu. Yhdysvaltoja uhkaa uusi turvattomuuden aikakausi, jos Obaman hallinto ei harkitse toimiaan tarkasti.

Ei, kyseessä ei ole terrori-isku, ei salamurhahanke, eikä edes uusi pankkikriisi. Nyt pelkoa aiheuttaa avoimen lähdekoodin tietoturva.

Kalifornialainen suuri tietoturvayritys Fortifyon lähestynyt Obaman hallintoa avoimen lähdekoodin tietoturvariskeistä. Fortify kehottaa Yhdysvaltain johtoa toki tutkimaan avoimen lähdekoodin ohjelmistojen tarjoamat mahdollisuudet mutta myös ottamaan huomioon mahdolliset seuraukset.

Tutkimusyhtiö IDC:n tuoreen selvityksen mukaan it-ammattilaisista lähes kaksi kolmasosaa käyttää tai aikoo käyttää seuraavan vuoden aikana avoimen lähdekoodin ohjelmistoja. Fortifyn mukaan tämä on huolestuttavaa, sillä sen mielestä avoimen lähdekoodin haavoittuvuudet voivat avata yritysten ovet viruksille, tietoturva-aukoille ja muille ongelmille, jotka voivat vaikuttaa haitallisesti liiketoimintaan ja asiakkaisiin.

Suurin osa avoimen lähdekoodin ohjelmistovalmistajista ei painota turvallisuutta riittävästi ohjelmistokehitysprosesseissaan, Fortify julistaa tiedotteessaan.

Turva ei ole avoimuudesta kiinni

Viestintäviraston tietoturva-asiantuntija Juhani Erosen (kuvassa) mukaan tilanne ei ole läheskään näin mustavalkoinen.

”Tässä on turhaan eroteltu kaksi eri asiaa eli avoin lähdekoodi ja suljettu koodi, vaikka molemmat ovat aika heterogeenisia joukkoja, eivätkä mitään homogeenista massaa”, Eronen sanoo.

Hän muistuttaa, että kaikista ohjelmistoista löytyy todellisia helmiä ja pelkkää kuraa, oli niiden lähdekoodi sitten saatavilla tai ei.

”Yleisesti ottaen ohjelmistojen turvallisuustaso vaihtelee. Ei avointa ja suljettua koodia voi niputtaa niin, että toinen on vaarallinen ja toinen ei.”

”Suljetun koodin puolella kaikki riippuu siitä, onko ohjelmistotalon johto asettanut tietoturvan tavoitteeksi, onko siihen annettu resursseja ja onko siihen osoitettu työntekijöitä. Avoimen koodin puolella tilanne taas riippuu siitä, onko tietoturva lähellä kehittäjien omaa osaamista ja tavoitteita.”

Huomio toimittajan pysyvyyteen

Yritysten ja organisaatioiden tulisi olla hyvin selvillä siitä, mitä he ostavat.

”Jos yritykselle ostetaan ohjelmisto, sitä ei luultavasti osteta mistään pikkuputiikista, kun ei tiedetä, onko sitä enää ensi vuonna edes olemassa. Myöskään ei välttämättä hankita jotain kahden kehittäjän avoimen koodin softaa, johon on tehty viimeinen päivitys kolme vuotta sitten”, Eronen sanoo.

Ohjelmistojen hankinnan yhteydessä kannattaakin kiinnittää huomiota jatkuvuuteen.

”Suljetun koodin ohjelmistoissa päivitystarpeen seuraaminen on useimmiten valmistajan huolenaihe, kun taas avoimella puolella päivitystarpeen seuraaminen sekä päivitysten paketointi ja jakaminen voivat jäädä käyttäjien vastuulle. Avoimen koodin ohjelmistojen haavoittuvuustilanteen seuranta voi joskus olla korostetun tärkeää”, Eronen selvittää.

Fortifyn mukaan avoimen lähdekoodin kehittäjillä on usein käytettävissään selvästi vähemmän tietoturvatyökaluja kuin ohjelmistotalojen koodareilla. Erosen mukaan tämäkin on hieman harhaanjohtavaa pohdintaa.

”Sekä suljetun että avoimen lähdekoodin ohjelmistokehittäjille on tarjolla samat tiedot turvallisen ohjelmistokehityksen menetelmistä. Vuosien varrella kääntäjien kehittyminen ja turvallisemmat ohjelmointikielet ovat teknisistä ratkaisuista vaikuttaneet eniten koodin tietoturvaan. Näitäkin ratkaisuja pitää toki osata hyödyntää. Erilaiset skannaukset ja auditoinnit ovat tärkeitä mutta eivät aivan samalla painotuksella.”

Oikeat valinnat ratkaisevat

Pirjo Hannikainen

Avoimen lähdekoodin järjestelmiä hyödyntävän ja kehittävän Proactumin toimitusjohtajan Pirjo Hannikaisen mukaan avoimen lähdekoodin ohjelmisto on oikein valittuna suljetun lähdekoodin ohjelmistoa turvallisempi.

”Tulee valita sellainen avoimen lähdekoodin tuote, jolla on kaupallinen tuki ja jonka taustalla on riittävän laaja ja elävä kehittäjäyhteisö. Silloin avoimen lähdekoodin turvallisuus on taattu”, Hannikainen sanoo.

Hänen mukaansa suljetun lähdekoodin ohjelmistoissa voi piillä riski, että koodin on vääntänyt yksinään joku kokematon ohjelmoija.

”Projektilla voi olla tiukka aikataulu ja tiukka budjetti, ja voi olla, ettei kukaan muu ihminen ole edes ehtinyt vilkaista tai testata koodia. Suljetun koodin ongelma on se, että ikinä ei tiedetä, onko koodin kasannut yksi vai sata ihmistä.”

”Kun taas valitaan oikea avoimen lähdekoodin ohjelma, voidaan olla varmoja, että koodin on lukenut läpi sata tai tuhat ihmistä. Silloin todennäköisyys, että tietoturva-aukko tulee esiin, on paljon suurempi, kuin jos sen olisi lukenut vain yksi tai kaksi ihmistä.”

Hannikainen antaa tapauksesta elävän esimerkin kylpyhuoneremontin avulla.

Tuoko yhteisö turvaa?

”Jos kylpyhuoneen remontoijalla on kiire, ja hän tietää, että kukaan ei koskaan katso kaakeleiden taakse, niin siinä on houkutus jättää muutama vesieriste laittamatta. Mutta jos kylpyhuone onkin joku julkisen esittelyn kohde, jota tuhannet ihmiset tulevat katsomaan, silloin astuu esiin ammattiylpeys.”

”Avoimen lähdekoodin kaakeleissa on saranat ja jokainen pääsee katsomaan, mitä niiden takana on.”

Hannikainen myöntää, että pienissä muutaman hengen kehittäjäyhteisöissä voi piillä riskejä, mutta kaupallisen tuen ja laajan kehittäjäkunnan tuottamissa avoimen lähdekoodin tuotteissa laatu on korkea.

Hannikaisen mukaan myös ohjelmistojen päivitykset ja bugien korjaukset tapahtuvat avoimen lähdekoodin ohjelmistoissa paljon suljetun koodin ohjelmistoja nopeammin.

”Olen itse ollut seuraamassa, kun asiakkaalla oleva ohjelmistovirhe korjataan puolessa vuorokaudessa. Suljetun koodin ohjelmistoja valmistava yritys voi puolestaan vain ilmoittaa, että korjauspäivitys tulee ehkä seuraavalla kvartaalilla.”

”Lisäksi avoin lähdekoodi mahdollistaa hyväksi todettujen osien uudelleenkäytön. Se nostaa laatua tälläkin alueella, kun kaikkea ei tarvitse uudelleen määritellä, toteuttaa ja testata. Tämä puolestaan vähentää ohjelmavirheiden mahdollisuutta.”

Hannikaisen mukaan nykyisinä epävarmoina aikoina on myös otettava huomioon, että suljetun koodin toimittajat voivat esimerkiksi yhtäkkiä lopettaa toimintansa.

”Ellei escrowta (tietokoneohjelmien lähdekoodin tallettaminen mahdollisten epävarmuustilanteiden varalta) ole, niin miten asiakas saa tietoturvakorjaukset? Avoimessa lähdekoodissa koodi on aina käytössä, ja sitä voi tarvittaessa vaikka itse päivittää”, Hannikainen sanoo.

Lähetä

Tulosta

Kommentoi artikkelia

Re: Kuka pelkää avointa koodia? 2.3.2009 13:30

Avoimen koodin tietoturva on helpommin todettavissa.
Toisaalta, viitsiikö koodata miten sattuu kun koodia pääsee katseleen kuka tahansa.

jaaha Vastaa

Re: Kuka pelkää avointa koodia? 2.3.2009 21:22

Tässähän voisi usa:n hallinto pistää ranttaliksi ja ruveta kehittämään itse avointa koodia nsa:n yms kautta.

vs Vastaa

Re: Kuka pelkää avointa koodia? 3.3.2009 11:30

Fortify pelkää vain oman tulevaisuutensa puolesta. Jos kaikki alkaisi käyttää avointa koodia, joka on jo todetusti turvallisempaa, menisi Fortifyn sälleiltä duunit. Eli tuossa on selvää lobbausta M$:n hyväksi.

Fortify pelkää Vastaa

Siirry keskusteluun / Katso kaikki kommentit