מחקר: תוכנות קוד פתוח טובות לביטחון

על משרד ההגנה האמריקאי להגדיל השימוש בתוכנות קוד פתוח בשילוב עם תוכנות קנייניות, כך ממליץ "מיטר" (MITRE), ארגון מחקר לא תלוי וללא כוונת רווח, בדו"ח חדש שפורסם ביום ב'.
הדו"ח, שכותרתו היא "שימוש בתוכנות קוד פתוח ותוכנות חופשיות במשרד ההגנה האמריקאי" (Use of Free and Open-Source Software in the U.S. Department of Defense), מתייחס לשאלה מהי העמדה הנכונה שעל הממשלות לנקוט בה ביחס לתוכנת קוד פתוח. עורכי המחקר ביקשו לענות על השאלה ההיפותטית: מה יקרה אם ייאסר השימוש בתוכנת קוד פתוח במשרד ההגנה האמריקאי.
המחקר קובע כי התפקיד הקריטי של תוכנות קוד פתוח במשרד ההגנה גדול מכפי שמקובל לחשוב, וכי איסור על שימוש בתוכנות כאלה אינו מעשי. עורכי המחקר גילו כי הזרועות השונות של משרד ההגנה עושות שימוש ב-155 יישומים שונים המבוססים על קוד פתוח.

פתוח נגד סגור

על פי תפישת הקוד הפתוח, תוכנה מופצת ברשיון יחד עם קוד המקור, וכך יכולים מפתחים לשנותה ולשפרה כראות עיניהם. רוב יצרני התוכנה הקניינית (ובראשם מיקרוסופט) נוטים לשמור את קוד המקור של התוכנות שלהם לעצמם ולא לאפשר לאחרים לשנותו וליהנות מפיתוחיו (קוד מקור סגור). הדו"ח החדש קובע כי השימוש בתוכנה המפותחת על פי מודל קוד פתוח נפוץ ביותר במשרד ההגנה וחיוני להגנה מפני מתקפות אלקטרוניות.
המחקר החדש של "מיטר" מזהה ארבעה תחומים עיקריים בהם נפוץ השימוש בקוד פתוח: תשתיות, פיתוח תוכנה, אבטחה ומחקר. עורכי המחקר קובעים כי איסור השימוש בתוכנות קוד פתוח בתחום אבטחת המידע עלול לשבש לחלוטין את יכולת הארגון למנוע מתקפות מהאינטרנט באופן אפקטיבי.

"אי השימוש בתוכנות קוד פתוח יפגע בביטחון"

החוקרים סבורים כי ללא תוכנות קוד פתוח, משרד ההגנה לא יוכל להשתמש ביישומי אבטחה רבי עוצמה המבוססים על קוד פתוח, ותיפגע יכולתם של ארגונים וקבוצות מסווגות במשרד ההגנה להתגונן מפני מתקפות אלקטרוניות. כמו כן, איסור כזה יפגע ביכולות המחקר והפיתוח של משרד ההגנה, ולא יאפשר למשרד להציע יישומים מקוונים שישרתו את עובדיו והציבור הרחב, כמו גם יביא לעליה חדה בעלות הכוללת של תוכנה (TCO) עבור הארגון.
על פי הדו"ח, בהשוואה לתוכנה קניינית, תוכנה חופשית (Free Software) ותוכנה המבוססת על קוד פתוח (Open Source) מספקות למנהל המערכת גמישות, עצמאות ויכולת להגיב מהר יותר למתקפות מקוונות. עורכי הדו"ח מציינים כי המלה "חופשית" מתייחסת ליכולת של המשתמשים לשנות את קוד המקור ולהפיצו מחדש.
החופש הזה מועיל למשרד ההגנה בגלל שהוא מאפשר לאנשיו להגיב לאיומי אבטחה באופן מהיר יותר, ומספק בידיהם את השליטה המלאה בקוד המקור של התוכנה, קובעים כותבי המחקר. בחודש יולי פרסמנו כאן, כי שר הביטחון היוצא, בנימין בן אליעזר, מסר בתשובה לשאילתא של ח"כ אליעזר כהן , כי גם מערכות המידע המבצעיות הסודיות של צה"ל מבוססות על תוכנות קוד פתוח.

המחקר ממליץ מדיניות לעידוד השימוש בקוד פתוח

מאחר שבמשרדים ממשלתיים רבים נרתעים מנהלי המערכת לתמוך בתוכנות קוד פתוח מסיבות שונות, שחלקן מוצדקות, מציעים עורכי המחקר לאנשי משרד ההגנה האמריקאי לקבוע מדיניות באשר לקידום השימוש בתוכנות קוד פתוח בארגון.
על פי ההמלצה, יש ליצור רשימה של תוכנות קוד פתוח נפוצות, מהימנות ובטוחות לשימוש, הנתמכות על ידי חברות מסחריות. החוקרים מונים בין תוכנות אלה את מערכות ההפעלה לינוקס ו-BSD, תוכנת סמבה, שרת האינטרנט אפאצ'י, שפת הסקריפט "פרל", ותוכנת הדואר האלקטרוני sendmail.
כמו כן, הדו"ח ממליץ למשרד ההגנה האמריקאי להשתמש בתוכנות מסחריות שמסוגלות לפעול היטב עם תוכנות קוד פתוח, ולעודד השימוש ברשיון הציבורי הכללי (GPL), כדי לשפר את יעילות המחקר והחדשנות המסחרית.
על פי רשיון ה-GPL, שומר בעל הזכויות המקורי על זכות היוצרים שלו, אך במקביל מוותר במודע על חלק מהזכויות הבלעדיות שמקנה הקניין הרוחני לבעליו. למשל, תחת רשיון זה, כל משתמש רשאי להעתיק תוכנה, לגשת לקוד המקור שלה, לשנותה ואף להפיצה מחדש ללא הגבלה (חינם או בעבור תשלום, לפי בחירתו). במקביל, המשתמש מתחייב לכלול את קוד המקור שלו יחד עם התוכנה ולכלול את תנאי רשיון הGPL בתוכנה המופצת.

סיבה נוספת: עידוד התחרות בשוק

דו"ח "מיטר" ממליץ למשרד ההגנה להשתמש בתוכנות קוד פתוח גם כדי לעודד את התחרות בשוק, בתקופה בה השימוש במערכת ההפעלה Windows של מיקרוסופט נפוץ יותר מאי פעם.
"התחרות בשוק תפחית את עלות התוכנה ותצמצם את הסיכון הנובע מתלות בספק תוכנה יחיד", קובע דו"ח "מיטר", "ריבוי של תוכנות מתחרות בשוק יגדיל את חופש הבחירה ויפחית את הסיכון ממתקפות אלקטרוניות המבוססות על ניצול אוטומטי של פרצות אבטחה ידועות בתוכנות פופולריות".
מדובר בדו"ח השני שמכין ארגון "מיטר" בנושא הקוד הפתוח עבור משרד ההגנה האמריקני. גם בגירסה קודמת של הדו"ח, שהוגשה לפנטגון לפני מספר חודשים, ממליצים החוקרים להרחיב את השימוש בתוכנות קוד פתוח.