Proč (ne)svěřit data open-source softwaru
Délka:
5 min
Publikováno:
21. února 2021
Věřit, nebo nevěřit open-source softwaru, to je otázka. Je open source, takže si kdokoli může přečíst kód a podívat se, kam data putují. Dělá to z OSS důvěryhodnější software? Dělá, a zároveň nedělá.
Proč byste se měli starat o bezpečnost?
Pokud se musíte ptát, něco se ve vašem učení vývoje softwaru pokazilo. Pokud začínáte, pojďme si o tom říct.
Nechcete, aby vám unikla data, a už vůbec ne data klienta. Když se k vašemu kódu dostane někdo se špatnými úmysly, můžete přijít o kód, nebo hůř, o přístupové údaje a celý účet.
Kdy si dávat pozor
Řekněme, že chcete použít nějaký OSS nástroj, který potřebuje některé z vašich přístupových údajů, třeba access token k repozitáři. Pár signálů vám napoví, že předat token nemusí být nejlepší nápad.
Dejte si pozor, když:
- Poslední commit je starší než tři měsíce. Naznačuje to, že o projekt už nikdo nepečuje. Problém nemusí být v samotném projektu, ale třeba v závislostech, které uvízly na zastaralých verzích.
- Je to úplně nový repozitář bez historie. Nejspíš ho ještě nikdo nezkontroloval.
- Má jen pár hvězdiček (u repozitářů na GitHubu). Hvězdičky nemusí odrážet kvalitu kódu, ale buďte opatrní.
Věřili byste nástroji jen proto, že je open source? Nejspíš ne. Přesto je mnohem důvěryhodnější než software, do kterého nevidíte, ale jen pokud ho někdo udržuje aktuální a vývojáři pracují na tom, aby snížili bezpečnostní rizika. Nikdo by se neměl spoléhat na to, že když je nástroj open source, určitě ho někdo prověřil, takže já nemusím.
Kdy se uklidnit
Opravdu ten nástroj chcete použít, ale nemáte čas projít kód? Tady jsou signály, že předat access token je rozumně bezpečné.
Kód je nejspíš v pořádku, když:
- OSS někdo udržuje. V posledních třech měsících jsou commity a žádné Pull Requesty neleží bez odpovědi déle než tři měsíce.
- Má hodně uživatelů. Sledujte počet hvězdiček nebo stažení.
- Stojí za ním známá firma. Není to záruka nejbezpečnější aplikace na světě, ale taková firma nechce přijít o pověst kvůli slabé bezpečnosti.
Jak udělat svůj OSS důvěryhodnějším
Máte OSS nástroj, ale málo hvězdiček, nebo je úplně nový. Přesto chcete, aby vašemu kódu uživatelé věřili. Nástroj dobře udržujete a je docela velký, jenže v komunitě vás nikdo nezná a uživatelů je málo. Jak si tu důvěru získat? Stejnou otázku jsme si museli položit i my, protože stavíme OSS nástroj, na který tahle situace přesně sedí. Proč by nám měli noví uživatelé věřit? Nebo vám, pokud máte stejný problém?
Řekněte uživatelům, k čemu přístupové údaje používáte.
DX Scanner vyvíjíme už nějakou dobu. Je to open-source CLI nástroj, který měří Developer Experience přímo ze zdrojového kódu. Víme, že je náš software bezpečný a nesbírá žádná uživatelská data. Jenže jsme úplně zapomněli to uživatelům říct.
Sepište, jaká data sbíráte a co odesíláte, pokud to uživatel dovolí.
Někteří kolegové, kteří na DX Scanneru nepracují, nám řekli, že jeho bezpečnosti věří prostě proto, že nás znají. Vzali jsme to vážně a došlo nám, že bychom měli sepsat článek o tom, jak v našem open-source nástroji data (ne)sbíráme.
Závěr
Pokud jste na straně uživatele: open-source nástroj ještě neznamená bezpečný nástroj. Vždycky si prověřte software, který chce vaše přístupové údaje.
Pokud jste na straně vývojáře: to, že svůj software stavíte zodpovědně a bezpečně, neznamená, že to uživatelé vědí. Dejte jim důvod vám věřit.
Sepsali jsme článek o tom, jak data (ne)sbíráme. Přečtěte si ho tady.
Chcete být o krok napřed?
Nenechte si utéct naše nejlepší postřehy. Žádný spam, jen praktické analýzy, pozvánky na exkluzivní eventy a shrnutí podcastů přímo do vaší schránky.