Pohdin tässä tänään, että jos Android:in korvaisi LineageOS:illä, niin onko järkevämpää luottaa LOS:in olevan luotettavampi vai vähemmän luotettava kuin virallinen Android-jakelu?
Puolia:
* Google on iso yritys, jolla on yritykselle kuuluvia vastuita. Jos Google jäisi tietoturvan laiminlyönnistä kiinni, niin tulisi sanktioita. Siksi Google luultavasti pyrkii takaamaan tietoturvan lupaamallaan tavalla.
* LOS antaa enemmän päivityksiä kuin esimerkiksi vanhempi Android, joten siinä on nykyaikaisempia suojia kuin vanhassa Android:issa.
* LOS on avointa koodia, joten siitä voi halutessaan selvittää, mikäli siinä on jotain tietoturvaongelmia.
* LOS on epävirallisten ja löyhästi organisoituneiden ihmisten tekemä, joten vaikka LOS:issä olisi vakavia puutteita, niin tekijöitä ei voida asettaa vastuuseen eikä ohjelmisto luultavasti myöskään takaa mitään, kuten avoimen lähdekoodin projektit yleensäkään. Käyttö on siten lopulta omalla vastuulla.
* Toisaalta ei ole avoimellekaan projektille edullista, jos paljastuisi, että se tuottaa jollekin vahinkoa. Tässä mielessä myös avoimen lähdekoodin projektin kannattaa valvoa, mitä repoon on työnnetty.
Eli mitenköhän pitäisi ajatella siitä, jos haluaa asentaa vaikka LOS:in verkkopankkia yms. varten? No-go?
Vai tiedättekö esimerkkejä, joissa joku, joka on laittanut repoon jotain vakoilua tms. olisi jäänyt siitä kiinni?
xz
Vastaan hieman itselleni jo:
"With open source, anyone can view and audit the source code, which means that there are many eyes looking for vulnerabilities and potential security issues. This collaborative effort helps to identify and fix security flaws, making the software more secure."
Toisaalta, koska nämä eivät ole saman yrityksen tms. palveluksessa, niin näillä on vähemmän tai erilaisia biaseja.
Teoriassa siis jossain Apache HTTP Server:issä voisi hyvin olla rikollista koodia, mutta ei taida olla.
Verkkopankkien suurin ongelma lienee, jos verkkopankki ei itse varmenna tai tue toimintaa vaihtoehtojärjestelmillä. Näin ollen, ne saattavat toimia oikein, mutta ohjelman laatija ei ole todentanut tätä.
LOS esim. ei toteuta turvallisuusraameja, joita ohjelma kysyy Android:illa. Tämä ei kuitenkaan tarkoita suoraan, että turvallisuustarkistusten ohittaminen johtaa tietoturvariskiin.
mavavilj kirjoitti:
Vastaan hieman itselleni jo:
"With open source, anyone can view and audit the source code, which means that there are many eyes looking for vulnerabilities and potential security issues. This collaborative effort helps to identify and fix security flaws, making the software more secure."
Tuo teksti on ilmiselvästi LLM:n tuottamaa. Säästäisit vaivaa kysymällä suoraan esim. ChatGPT:ltä.
Suosittelisin olemaan käyttämättä forumeita muisti/päiväkirjoina ja yrittämään lukea huonetta. Ei ole mitään syytä mikset voisi kirjoitella asioita itsellesi johonkin ylös jos niin haluat. En ole varma, että etkö oikein huomaa tai tajua miten jengi suhtautuu viesteihisi ja lankoihisi.
mavavilj kirjoitti:
Käyttö on siten lopulta omalla vastuulla.
Niin, tämä on iso juttu. Etenkin, kun CRA, NIS2 ym. tulevat pian voimaan (NIS2 vissiin jo voimassa) niin tuolla on merkitystä. Sakot voivat olla hirmuiset.
Jos sen sijaan ostat sertifioidun softan toiselta yritykseltä, on vastuusi rajoittunut suurin piirtein siihen että olet varmistanut ohjelmiston toimittajan tehneen tarvittavat toimenpiteet.
mavavilj kirjoitti:
(10.05.2025 19:35:04): Vastaan hieman itselleni jo: ...
No niin. Tämän epäonnistumisen jälkeen voisit antaa tietokoneesi pois ja irtisanoa nettiliittymäsi. Sinä olet niin tyhmä, että se alkaa jo olla vaarallista.
1. Kyseinen nettisivusto on kokonaisuudessaan selkeä huijaus.
2. Kirjoittamasi nimimerkki viittaa selkeästi huijaukseen. ("science-admin")
3. Artikkelin tarkoitus on selkeästi jakaa väärää tietoa ja luoda ns. false sense of security eli väärään uskoon perustuva turvallisuuden tunne.
(Joku voisi kuvitella sivuston olevan autonomisen chattibotin luomaa roskaa, mutta koska siellä ei ole edes mainoksia, niin en keksi mitään järkevää syytä sivuston omistamiselle muuta kuin informaatiovaikuttaminen. Domainin omistaminen maksaa rahaa, palvelimen omistaminen maksaa rahaa. Kulut juoksevat koko ajan.)
En tiedä noista muista, mutta pääongelma on, että hakukone laittaa tuloksen ylös ja että se sisälsi halutun viittauksen. Saman olisi siis voinut kysyä miltä vain Chatbot:ilta. On ilmiselvää, että lähde ei ole sinällään todistava, mutta tarkoitus olikin saada niitä ilmiöitä esiin eli ns. keskustelun aloituksia. Eihän tuossa nimittäin ole yhtään esimerkkiäkään, joten sitä ei voisi pitää todentavana sinälläkään. Tuo lainaus vaikuttaa kuitenkin olevan totta, koska se todetaan muissakin lähteissä.
Tässä ollaan sitä paitsi juuri ongelman ytimessä eli annetun tiedon luotettavuudessa. Mihin voimme luottaa, jos open source -advokaatit väittävät avointa koodia paremmaksi ja closed source -advokaatit väittävät sitä huonommaksi? Entä jos julkaisija (esim. yritys) itse pitää koodia turvallisena? Yrityksellä on luotettavan tiedon piirteitä, mutta sen antama tieto voi olla tavoitteiden värittämää. Lopulta meidän tulisi voida luottaa tiedon lähteeseen erittäin paljon tai sitten varmentaa koodi itse. Milloin voimme luottaa tiedon lähteeseen, jotta meidän ei tarvitse lukea itse koko koodia?
Valitsetteko itsekin vaikka web-teknologioiksi React ja Node.js? No ne löytyvät suosittuina, mutta mistä tiedätte, ettei niissä ole telemetriaa? Itse en muuten käytä kumpaakaan sen takia, että en luota niiden toimittajiin. Mietin eilen, että en todellakaan laittaisi kumpaakaan johonkin valtion ohjelmistoihin.
Huvittavasti myös LinuxInsider toteaa, että asiantuntijoiden arviot turvallisuudesta ovat myös harhaisia:
"One major revelation in the TuxCare report is the misalignment between security professionals’ perceptions. There is a significant disconnect between security professionals’ perceptions of vulnerability levels and the true threat landscape.
Roughly half of the respondents believed vulnerability volumes remained stable in 2024 compared to 2023. However, data shows a 25% increase overall and a staggering 12-fold increase in Linux-specific vulnerabilities."
https://www.linuxinsider.com/story/open-source-security-at-risk-from-poor-oversight-177531.html
Tulkkaisin tämän itse perusilmiöksi, jossa halutaan uskoa sitä, mitä halutaan uskoa.
Chatbot:ien väitteet toistetaan kuitenkin ihmisten toimesta muualla, esimerkiksi:
https://www.slashgear.com/1708723/pros-cons-open-source-software-safe/
(no taas voi miettiä, että onko tässä jotain biaseja. Täällä on sentään esimerkkejä.)
Nämä ovat myös kaikki top-tuloksia:
https://duckduckgo.com/?t=h_&q=is open source more trustworthy&ia=web
joten vikaa on myös hakukoneen algoritmissa.
Onhan tuolla myöhemmin myös ainakin yksi "tiedeartikkeli":
https://www.sciencedirect.com/science/article/abs/pii/S1353485820300829
Tässä eräs referenssi on jokin:
"‘2019 State of the Software Supply Chain report reveals best practices from 36,000 open source software development teams’. Sonatype"
Tuo kuulostaa hyödylliseltä dokumentilta.
---
https://www.sonatype.com/press-releases/2019-state-of-the-software-supply-chain-report
Siinä on vähän statistiikkojakin.
---
Tietysti, koska muuskanuikku on asiantuntija, niin hän voi kertoa, mikä on luotettavin lähde avoimen lähdekoodin turvallisuudelle. Perustuuko se:
-käyttäjien määrään
-advokaatin maineeseen tai asiakkaiden määrään
-itse todentamiseen
-vastuun vierittämiseen muille (eli ostaa avointa lähdekoodia yritykseltä, joka myy sitä, ja laittaa toisen yrityksen vastuuseen siitä)
- ... ?
Epäilen hänen kykyään, koska hän väitti tietoa huijaukseksi sen perusteella, että yksi lainaus vaikuttaa olevan oikein ja koska hän piti lähdettä ilmeisesti todisteena. Tämän jälkeen hän derailaa keskustelua irrelevantilla pohdinnalla ja antamatta itse yhtään uutta näkemystä tai lähdettä. Väärin, kyseessä ei ole ensisijaisesti huijaus, vaan ilmiö asiasta, josta keskustellaan. Lisäksi melko uskottavasti tosi lainaus yhteenvedosta ei ole huijausta, vaan tiedon murunen, millaisena se annettiinkin. Eipä Chatbot:ejakaan käytetä tiedon varmentamiseen, vaan inspiraatioon ja ideoihin, jolloin tiedon oikeudella ei ole botin kontekstissa mitään merkitystä.
---
Pidättekö sitten esimerkiksi Piraattipuoluetta luotettavana? Minä en. Entäpä sitten vaikka Eff:iä?
Lopulta luulen, että yllä mainitut NIS 2 yms. tulevat tosi tarpeeseen.
Voimme tietysti epäillä, että onko tällä mitään vaikutusta open source -kollektiiveihin. Osa niistä tekee kuitenkin jo laittomia asioita.
---
Olisiko hyvä metriikka luotettavuudelle esimerkiksi:
-pitkä historia käytössä
-paljon käyttäjiä
Tämä kuitenkin poissulkee tehokkaasti pienet, uudet ja luotettavat toimittajat.
Itseasiassa tämä on ihan normaali ilmiö kaupankäynnissäkin. Ajatellaan, että iso ja vanha toimittaja on luotettavampi kuin uusi ja nuori.
Luulen kuitenkin, että lähtökohtaisesti pitäisi saada paljon silmiä eli että käyttäjien määrä on merkittävästi luotettavuuteen vaikuttava tekijä. Tämä pitäisi kuitenkin suhteuttaa projektin kokoon. Pienelle projektille riittää vähemmän silmiä.
Tässä on jokin paywall:attu artikkeli, joka vaikutti hyödylliseltä:
V. del Bianco, L. Lavazza, S. Morasca and D. Taibi, "A Survey on Open Source Software Trustworthiness," in IEEE Software, vol. 28, no. 5, pp. 67-75, Sept.-Oct. 2011, doi: 10.1109/MS.2011.93.
keywords: {Open source software;Software reliability;Reliability;Software engineering;open source software;trustworthiness;internal software qualities;external software qualities;pragmatic software engineering},
https://ieeexplore.ieee.org/abstract/document/