- Сигурността е процес - Сигурност може да се постигне чрез *знание*! Какво по-голямо знание от това да можеш да разбереш как работи цялата система имайки нейният изходен код. - В "Катедралата и Базарът" Ерик Реймънд казва: "Затвореният код не води до сигурност, той води до _чувство_ за сигурност. Знаете че там има нещо, но не можете да го проверите, не можете да проверите какво предполага кодът, не можете да проверите доколко са били _честни_ хората които са го писали" - Всеки които се занимава с криптография знае израза: "Сигурността на един алгоритъм не зависи от неговата секретност" - Всички широко изполвани алгоритми в криптографията са минали публичният тест за използваемост. Всички които са се опитали да ползват нещо затворено, разчитайки на това че няма да бъде разбран начина по които работи са се провалили (DVD) - Когато е следван принципа KISS е много по-лесно да се провери сигурността на един продукт. - Защо трябва да ни интересува. Грешки има във всеки софтуер. Но при затвореният софтуер на никой не му пука, защото няма нужда да му пука. Когато е скрито кой ще разбере ? - Как можем да вярваме на нещо в което само производителят може да провери дали върши това което трябва и дали е сигурно като дизайн? - Аутентикацията на ИЕ-то, което праща NTLM creditensials. - Как можем да сме сигурни, че не върши нещо друго и няма backdoors? - Backdoor-а в Microsoft Front Page Extensions - Backdoor-а в Interbase. - При проблем какво ще направим ако производителят откаже да го оправи? - Windows NT 4.0 - Затворен код означава, че само "лошите" могат да открият грешките и да се възползват. При отвореният код и "добрите" могат да го направят и грешките да бъдат поправени. - Случаят с даването на "кода" на windows на МВР. - След като трябва да им вярваме защо трябва да дават КОДА като уверение? Това не е ли директно потвърждение на това което казах че без да видиш кода не може да има доверие? ** много от проблемите в програмите с отворен код се откриват и оправят преди дори някой да е започнал да се възползва от тях. Не е такъв случая при затворените системи къдете обикновенно цикълът е: ако открият нещо, отричаме до последно за да не понесем PR удар, когато публикуват разкритията си, пускаме обновление и press release в които твърдим, че проблема не е опасен ** - Примери безброй, да не почвам да говоря за IE щото няма да ми стигнат 2 часа. ** Едно от предимствата на отвореният код е неговата *видимост*. Всеки, които пожелае може да провери дали върши това, което трябва. ** more eyes == better security ** Всеки може да осигури поправка ако е необходимо. ** ** ако "производителят" се откаже да поддържа нещо това не значи че увисвате. ** ** свойство на софтуерът с отворен код е, че с времето става все по-добър и по-сигурен, защото хората могат да се учат от предишните си грешки ** Според експертите по сигурността най-сигурната операционна система в света е OpenBSD. Тя е с отворен код. NSA ползва Linux като връща в общността своите промени така че всеки може да почерпи от опита им. Германското правителство посочи, че при избора на Линукс голям фактор е изиграла сигурността и независимостта от един софтуерен производител.