Hvem tør closed source?
‘Many eyes make all bugs shallow’ [Linus Torvalds] er riktigere enn noen gang. Det vi ser kan vi kontrollere - hvis vi ønsker. Tør vi å kjøpe eller bruke closed source software?
Problemstillingen ble aktualisert av Bloombergs spion-chip-avsløringer nylig (se Spion-chips: Hva om alle er infisert?). Gamle sannheter blir plutselig om ikke nye, så i alle fall hyperaktuelle. Kjente, men oversette svakheter blir viktige, og sikkerhet rykker opp til første divisjon for hele verden - enda en gang, for en stakket stund.
Den innlysende konklusjonen er trukket mange ganger tidligere: ‘Infisert er ikke noe vi blir, men noe vi er’. Get used to it. Prosessene og diskusjonene blir mye enklere hvis vi forholder oss til virkeligheten i stedet for et eller annet ønsket scenario.
Vi vet – og har fått understreket enda en gang – at hardware kan være infisert. Akkurat som software. Når denne virkeligheten er akseptert, blir det riktige spørsmålet hvordan eksponeringen kan reduseres. Og mens tiltakene vi nevnte i artikkelen ovenfor, er like relevante for software som for hardware, har software en egenskap som gir tilleggsverdi: Kildekode.
Riktignok gir scanning og kontroll av kildekode heller ingen garanti, som Ken Thompson beviste for all fremtid i sitt berømte TuringAward foredrag i 1984 (se Reflections on trusting trust), men slik kontroll hever terskelen vesentlig. Derfor sitatet fra Linus Torvalds i ingressen ovenfor. Og derfor er åpenhet og tilgang til kildekode viktigere enn noen sinne – i mange miljøer et krav. Ikke nødvendigvis fri kildekode, men ‘åpen’ under en eller annen lisens. Utenkelig for 15 år siden, men mer alminnelig enn de fleste er klar over i dag. Millioner av kodelinjer i all verdens moderne web-løsninger distribueres alltid i kildekode. Javascript, PHP, Python, Rails og et par dusin andre språk som ‘driver’ den digitale verden, er kildekode (eller bytecode) som interpreteres når den kjøres og lett kan leses/kontrolleres.
Closed source, klassisk kommersiell programvare, er per definisjon lukket, ikke kontrollerbar. Det har vært OK i snart 40 år [før 1980 ble mange store og små softwaresystemer, inklusive operativsystemer, levert med kildekode, ofte som papir-utskrifter] fordi markedet ikke har hatt noe valg og leverandørene har hatt vår tillit – mer eller mindre fortjent. Markedet har akseptert ‘behov for hemmeligholdelse’ som argument – om enn med voksende motforestillinger i takt med Linux-eksplosjonen: ‘Hvorfor er open source notorisk bedre/sikrere/mer effektivt/stabilt?'
Holdningsendringen tok av for 10+ år siden, med den følge at vi i dag spør 'hvorfor satser proffene på open source hardware (se Facebook - kongen av hardware)' og 'hvorfor går amerikanske myndigheter hardt ut for å løfte seg selv og forvaltningen inn i en åpen fremtid med MCOP (Mission Critical Open Platform)'?
Etter Bloombergs ‘China-gate’ har motforestillingene vokst og tilliten fått (enda en) en smell. Ikke fordi vi mistenker våre mangeårige software-partnere for urent trav, men fordi grunnlaget for gammel tillit er borte. I likhet med hardware, består software av komponenter. Noen er ‘hjemmelaget’ av leverandøren selv, mange er kjøpt, lisensiert eller anskaffet via overtagelser. Hvem kontrollerer alle disse komponentene - hver versjon, hver patch, hver endring? Er full kontroll mulig? Hvor store ressurser bruker leverandørene på slik kontroll? Hvordan er det med ansvarsforholdene?
Svarene er skremmende nok til at ingen spør. Antatt ‘best practice’ ville trolig blitt ‘worst practice’ over natten. Det har ingen råd til.
Vi har heller ikke råd til å ignorere utfordringen. Hvor lenge vil markedet akseptere usikkerheten i closed source hvis open source er tilgjengelig? Vi tror svaret gir seg selv og er en del av motivasjonen bak Microsofts sterke inntreden på open source siden nylig (se Microsoft bader i open source). At mange av de gamle produktene – Windows, Office, Oracle Financials og klassiske database-systemer blir åpen kildekode er lite sannsynlig, og etterhvert uviktig. De har gått ut på dato alle sammen. De tilhører historien og hører hjemme der når verden tar steget over til heldigital åpenhet.
Og - ironisk nok – gjennomsiktighet gjør tyveri (copyright infringement) vanskeligere fordi det er lett synlig. Sammen med feil, svakheter, malware og ‘bomber’.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.