Открытый исходный код: гарантирует ли Open Source безопасность данных

Подписаться 18 тыс.

Просмотров 3,1 тыс.

50% 1

В этом видео мы рассмотрим, что такое открытый исходный код (Open Source) и как его использование влияет на безопасность данных. Мы обсуждали скандал вокруг безопасности данных в Signal и заявления Павла Дурова о превосходстве Telegram над Signal в плане безопасности именно из-за того, что исходный код Telegram выложен в открытый доступ: • IT News: Proton Mail с...
В связи с этим, настало время наконец разобраться, что такое в принципе открытый исходный код и насколько его наличие гарантирует безопасность ваших данных. А самый простой способ разобраться - скачать исходный код, скомпилировать его и посмотреть на процесс изнутри.
Сложность кода в данном случае не важна, поэтому мы посмотрим на процесс на примере простейшей программы "Hello, World!" на языке C с GitHub. Ну а дальше уже рассмотрим все вытекающие вопросы: являются ли реплицируемые сборки (Reproducible Builds) и контрольные суммы (Checksums) достаточной гарантией безопасности. Что такое Подпись релиза (Release Signature) и Независимый аудит. Оставайтесь с нами, чтобы узнать больше об Open Source и его роли в защите данных.
#OpenSource #ОткрытыйИсходныйКод #БезопасностьДанных #Signal #Telegram #ПавелДуров #GitHub #Программирование #ReproducibleBuilds #КонтрольныеСуммы #HelloWorld #КомпиляцияКода #РичардСтоллман #GNU #GPL #Кибербезопасность #ОбзорПриложений #Технологии
00:53 Скачиваем и компилируем открытый код с GitHub
03:07 Что такое Open Source
04:09 Open Source как философия свободного ПО
04:34 Open Source как гарантия безопасности данных
05:46 Reproducible Build - воспроизводимая сборка
06:19 Release Signature - подпись выпуска
07:00 Checksum - контрольная сумма
09:27 Независимый аудит
09:50 гарантирует ли Open Source безопасность данных
Tech Talk советует:
VPN на протоколах VLESS, Vmess и Shadowsocks от TechTalk и VPNPay: storage.google...
Подписка на VPN - AmneziaPro: storage.google...

Опубликовано:

12 сен 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 93

@DyaDyaAndrey 3 месяца назад

Отличное второе видео, спокойно и со вкусом. Давайте дальше про GNU, было бы интересно.

@unixit 3 месяца назад

Поддерживаю!

@user-fm9xf8ki1t 3 месяца назад

Мы в вас это ценим! Просто комментарий ради комментария.

@alexandrpetrovich7997 3 месяца назад

Рациональное объяснение манипулятивных высказываний, спасибо!

@TechTalk_NotDead 3 месяца назад

)) Ну да, я, кстати, повелся на манипуляцию и знаю людей, в том числе умных, которые тоже повелись. Пришлось разбираться в вопросе ))

@antovsky 3 месяца назад

@@TechTalk_NotDeadещё упустили такой простой момент - то что код открыт это вообще не про безопасность кода. Вон годами закладки лежат в открытых проектах. Сам по себе открытый код это хорошо, но это не про безопасность. Просто аудит кода проще, если он доступен.

@user-hy8js0g59m 3 месяца назад

Спасибо Вова за видос! Жаль очень короткий. Закончился неожиданно. Только я расселся посмотреть, а он закончился. )) зато несколько раз пересмотрел👍

@TechTalk_NotDead 3 месяца назад

Следующий будет длиннее, следующий будет новостной

@lev.shereshevsky 3 месяца назад

Хороший ликбез. Спасибо. Если будет выпуск с развитием темы, можно подсветить разницу между бесплатным и открытым софтом и дать краткий обзор вариантов open-source лицензий.

@TechTalk_NotDead 3 месяца назад

Ну да, это как раз в ответвлении со Столлманом. Сделаю, обязательно, да

@user-dv5ec3xt5d 3 месяца назад

Сложную тему получилось изложить (для не специалистов) на грани интересно/понятно. Вообще, тема выбрана с глубоким смыслом: разобрать на примерах (и по сути) по косточкам идеализированный опенсорс! Думаю, что эта тема для определенной аудитории, желающих понимать глубже. Пытаюсь понять, что делать с этим знанием? Жить дальше, быть открытым всему новому...

@TechTalk_NotDead 3 месяца назад

На том и стоим. Мне кажется, с этим знанием Вы найдете, что делать. Вас теперь фразой "у меня открытый код, все вопросы сняты" не проведешь. Но и фразой "мы не знаем, какой там у него открытый код" тоже. Короче, это просто знания и они помогают

@user-pc9yl1qt5f 3 месяца назад

Очень интересно, понятно, кратко, содержательно.

@alex_noumi 3 месяца назад

Доступно, познавательно и интересно! Спасибо за видео.

@SuperEvgen2 3 месяца назад

Супер!!!!

@romanovarts 3 месяца назад

Интересно, спасибо 🎉

@meskhishvili 3 месяца назад

Комментарий может быть поможет ! ⚛️⚛️⚛️⚛️⚛️

@megamortl13 3 месяца назад

О Ричарде Стоумане и побольше, пожалуйста

@ОлегБатомункуев 3 месяца назад

Спасибо за ваши ролики

@alexanderblinov1551 3 месяца назад

По тому, как человек говорит, можно сделать вывод, как человек мыслит. В данном случае - и говорит, и мыслит так, что слушать - одно удовольствие. Никаких а-а-а, как бы, поэтому и пр. мусора.

@TechTalk_NotDead 3 месяца назад

Спасибо! Но открою секрет только Вам )) я заранее готовлю текст. Если бы говорил без суфлера, были бы и а-а-а и как бы... но мыслю я именно так, как говорю в ролике

@user-uj9xx9gw1l 3 месяца назад

Отлично говорите и мыслите.

@alexanderblinov1551 3 месяца назад

Заранее готовлю текст - это понятно. Думаю, что так делают многие. НО. Тем не менее, есть много "докладчиков", которые говорят так, что слушать их или трудно, или просто невозможно!

@user-wx9cm9tl6k 3 месяца назад

Как всегда простыми словами, понятно о чем-то страшном для неайтишников!

@TechTalk_NotDead 3 месяца назад

Могем. Да это и для меня оказалось серой зоной. Я два раза гуру открытого кода звонил.

@nortecos 3 месяца назад

This is great content, we are waiting for new releases, wonderful Vova Lomov. We watch your episodes with the whole family!

@TechTalk_NotDead 3 месяца назад

Спасибо! А Вы прямо англоязычный, простите за вопрос? Просто интересно, как Вы, с субтитрами смотрите?

@agustwag2851 3 месяца назад

Дурову верить , себя не уважать . А вообще поддержку канала комет

@alex-stalker 2 месяца назад

Ждем GNU - все это интересно. Также история создания Линукса и главное - исследуйте, с какого момента сборки Линукса которые влазили на дискету стали идти в 1-2-4GB и выше

@IT_Software_Backup 20 дней назад

Добрый день. Благодарю за информацию. Шикарнейший выпуск!

@ВалерийШадрин-л5г 3 месяца назад

Буквально на днях читал статью двухлетней давности на эту же самую тему, вот это совпадение!

@vladimirp5433 3 месяца назад

СПАСИБО!

@Misferado 2 месяца назад

Спасибо за ролик. Комментарий в поддержку. Дата просмотра: 17.06.2024.

@ПавелЛисицын-к2п 3 месяца назад

Шикарное видео! Вова, ждём новые видео с нетерпением!)

@keskilvladimirov8572 3 месяца назад

👍👍👍

@universalviuver 3 месяца назад

Thnks!)

@sse9686 16 дней назад

Спасибо. Коммент в поддержку.

@iurlovin 3 месяца назад

Владимир, а будете ли рассказывать про такие компании типа 37signals? Экскурс в историю культовых компаний

@TechTalk_NotDead 3 месяца назад

Ну а почему нет?! Хорошая, кстати, идея. Запишу себе. Может не конкретно про них, но про культовые компании и про культовых персонажей -- это прямо очень хорошая тема.

@raot1188 2 месяца назад

Спасибо большое! Разумеется, видос про Столлмана-сотоварищи приветствуется )

@nordicwarrior14 3 месяца назад

Даёшь видео про GNU и Столлмана!

@ZICx23x 2 месяца назад

Поднимаю руку за Ричарда Столлмана (Linux) Go Благодарю за материал и труд.

@TechTalk_NotDead 2 месяца назад

Сделаю обязательно. Нужно популяризировать такие темы

@Shkur777 Месяц назад

обожаю такие выпуски

@VGhpcyBpcyBiYXNlNjQgZHVkZQ 28 дней назад

8:16 проверил, хэш суммы не совпали, кажется нас пытаются обмануть... А вообще какой-то запредельный уровень иронии на техническом канале. Можно ведь действительно было рассмотреть методы анализа, тот же тинт анализ, показать что наличие исходного кода не дает никаких преимуществ при автоматическом анализе проекта с нуля

@nikitxskv 3 месяца назад

спасибо

@noviknik 3 месяца назад

Большое спасибо!!

@balsamforsoul 3 месяца назад

Просто комментарий в поддержку 😊

@TechTalk_NotDead 3 месяца назад

Спасибо!

@artsergskar30 3 месяца назад

Хорошие видео, удачи автору канала😊😊😊😊

@prozzy82 3 месяца назад

интересно

@serhioramires3166 12 дней назад

На самом деле open source сейчас зачастую поддерживается волонтерами-прогрвммистами. Из-за экономии не проводится должным образом защитф кода, ревизия безопасности и уточнения личностей разработчиков. Поэтому силовикам ничего не стоит внедрить своего програмииста и в ПО появляются бэкдоры, уязвимости и т.п. А у apple нет open source, но защищеность системы напорядок выше той же microsoft экосистемы.

@user-ei2cz8mg6y Месяц назад

Спасибо

@shroedingers9953 3 месяца назад

Понятие 4-х свобод? Очень интересно!!!

@cyrilanisimov 3 месяца назад

Открытый исходный код для того, чтобы сам скомпилировал, если не доверяешь бинарнику

@TechTalk_NotDead 3 месяца назад

Да, но не только. Бинарнику Вы не доверяете, а почему доверяете коду? Это надо очень хорошо шарить, чтобы все отловить. Отрытый, это чтобы сообщество искало косяки

@cyrilanisimov 3 месяца назад

@@TechTalk_NotDead да, если проект популярный и к нему много внимания, то больше народу, которые «шарят» смотрят код. Если что-то находят, создают issues либо выкладывают пулл реквесты. Это всё можно смотреть в гитхабе. Понятно, что можно, что угодно проморгать (как это было недавно с либой xz), но чинится всё тоже довольно быстро.

@cyrilanisimov 3 месяца назад

@@TechTalk_NotDead если проект популярный, то смотрят много, кто шарит. Хотя, конечно, тоже не панацея. Вопрос этот обсуждался Бородой со Столяровым. Столяров говорил, что и в свободном коде есть вредоносы, но то, что они есть в закрытом коде - это 100%

@vilenevseev8799 3 месяца назад

Информация на серверах не в открытых источниках лежит, а в также зашифрованном, рядом с ключами по-соседству. Ну и вывод я не очень понял: "да есть хэш-сумма, да она совпадает, но это не гарант, потому что можно профессионально зафейкать". Вы же сами сказали насколько это сложно. Такую "операцию" нужно делать на каждую версию. И подобрать хэшсумы собранного продукта на основе скомпилированного проекта, как телеграм, это не то же самое, что подобрать хэш-сумму в "Hello, world"

@TechTalk_NotDead 3 месяца назад

Информация лежит в открытом виде для владельцев серверов. Ну то есть ключи рядом, как Вы правильно отметили. Да, про "не гарант" пересмотрел -- не совсем верно выразил мысль, согласен. Имелось в виду, что при наличии серверов, открытых для разработчика, возможности бэкдоров и закладок, потенциальной (пусть и незначительной) вероятности коллизий наличие открытого кода клиентской части - не гарантия. А получилось, что только возможность коллизии не гарантия. Но Вы же понимаете, что я имел в виду и наверное согласны, что просто наличие открытого кода в данной ситуации не гарантия

@AzorOrfeev 3 месяца назад

Нравятся мне разумные. Потому буду здесь. Вы по гороскопу случаем не "Рак". Мне надо, Я вот по своему, со странными запросами, может казаться. Но складываю просто гигантскую головоломку рождения и смерти ( - "жизнь прожить не поле перейти")

@TechTalk_NotDead 3 месяца назад

Жизнь прожить, это да. Нет, не рак. Да и вообще не очень люблю гороскопы.

@serhioramires3166 12 дней назад

Контрольная сумма может совпадать у разных файлов. Это особенность алгоритма. Так что это все вилами по воде написано

@boringboringboringboring 2 месяца назад

Почему достаточно одной контрольной суммы, когда в алгоритме MD5 есть уязвимость?

@stas7che 3 месяца назад

А какому мессенджеру доверяете вы?

@TechTalk_NotDead 3 месяца назад

Абсолютно -- никакому. Мне нравится Element и вообще Matrix по идее, но его особо нет ни у кого. В быту я пользую Signal как раз для более чувствительной переписки, но без Telegram обойтись не могу

@user-mz2zb9cq9s 3 месяца назад

@@TechTalk_NotDead Ну Matrix ломали, так что вот. Есть еще Delta Chat.

@forwork_12 3 месяца назад

❤

@alcedoatthis4007 3 месяца назад

Не знаю что написать, вот, пишу чтобы что-то было.

@TechTalk_NotDead 3 месяца назад

)) Спасибо! Да пишите, что в голову придет

@RomanIvanovMD 3 месяца назад

Комментарий.

@sk757a 3 месяца назад

Никогда не слышал про "реплицируемые сборки". На русском всегда используют "повторяемые сборки". Пираченый тотал в видео про опенсорс интересное решение)

@TechTalk_NotDead 3 месяца назад

Может быть. Наверное хотел, чтобы по научному звучало. Я при этом чаще встречал "воспроизводимые сборки". А Тоталу 100 лет, он у меня в дистрибутивах кочует в таком виде года с 10-го, я уже и не задумываюсь, какой он. А какой аналог, кстати, на опенсорц под Винду?

@sk757a 3 месяца назад

Воспроизводимые, да вроде тоже используется. Есть вполне себе стабильный и функциональный Double Commander, но сам я тоже TC использую.

@TechTalk_NotDead 3 месяца назад

)) и тоже пираченый? Я. кстати, даже не задумывался, он же в принципе бесплатный должен быть. Надо посмотреть. Более того, я думал, что у меня просто бесплатный

@sk757a 3 месяца назад

Для него не нужны никакие сборки или крки так как нет жёсткого технического ограничения по времени использования ознакомительной версии. Можно закрывать окно с напоминанием при запуске и использовать, но с точки зрения законности это, конечно, ничего не меняет. Так что, да. Надо заплатить.

@falciloid Месяц назад

Контрольной суммой ничего не подписывается, контрольная сумма высчитывается, при том её можно высчитать для любого файла

@TechTalk_NotDead Месяц назад

А предоставленная контрольная сумма не является подписью файла? Например, любого файла?

@andycandy9597 2 месяца назад

а почему именно сейчас стало жизненно необходимо любить друг друга? коммент для коммента

@TechTalk_NotDead 2 месяца назад

Когда силы зла сгущаются необходимо противостояние, но сил на противостояние в этот момент тоже не остается. Такой вот парадокс. Тогда хватаешься за соломинку, то, что безотносительно, потому что в этот момент непонятно, где добро, где зло. Ну вот "любить друг друга" -- это безотносительно. Не зря, наверное, Господь дал эту заповедь прямо перед Гефсиманией. Хотел написать "ответ для ответа", но получилось по-серьезному ))

@garlic777 3 месяца назад

I DIDN'T UNDERSTAND ANYTHING, but I watched it anyway. (I am Russian).😀

@TechTalk_NotDead 3 месяца назад

Спасибо! Вы уже второй человек, который пишет по-английски почему-то. Мода что ли такая новая ))

@garlic777 3 месяца назад

@@TechTalk_NotDead After certain events, I decided never to write in Russian, where possible.

@humphet3750 День назад

Опенсорс гарантирует что разработчик не будет забивать на очевидные баги. В случае с телегой можно убедиться что секретные чаты действительно имеют сквозное шифрование.

@boringboringboringboring 2 месяца назад

Как этот так называемый открытый исходный код может быть открытый для меня, когда я не программист, и ничего в нём не понимаю?

@TechTalk_NotDead 2 месяца назад

Ну, тут согласен. Без вариантов ))

@bsprspktvnk Месяц назад

дуров лукавит, ведь бэкэнт телеги не лежит в опенсорсе, а наличие кода клиента, только показывает, какие методы бэкэнда используются клиентом то что вы и сказали