2015/09/09

Debian quer garantir confiança no open-source


A cada semana vão-se descobrindo casos de infiltrações e hacking que nos deixam cada vez mais apreensivos (paranóicos?) sobre se realmente se pode confiar em alguma coisa, e nem o open-source está imune. Mas o Debian quer recuperar a confiança dos utilizadores, e ao mesmo tempo complicar a vida a todos os que se queiram "infiltrar" no software dos utilizadores.


O open source expõe o código dos programas, de modo a que todos possam ver o que realmente fazem, mas infelizmente isso já não é garantia de que o mesmo não seja comprometido. É que para que esse código possa ser executado pelo computador é necessário compilá-lo... e coloca-se a questão: e se o compilador que se está a usar tiver sido infectado e adicionar elementos indesejados a um programa que se esteja a compilar?

E como saber se o programa compilado que um developer ou empresa disponibiliza, com base em código open-source, está a salvo dessas infecções indesejadas? A proposta para solucionar essa potencial desconfiança passa pelos reproducible builds.

A ideia assenta no pressuposto que o mesmo código fonte deverá resultar no mesmo programa executável quando é compilado. Portanto, ao se compilar um programa na nossa máquina, usando diferentes compiladores, o resultado deverá ser idêntico, e também idêntico ao executável que for disponibilizado.

Até os próprios compiladores são postos à prova, compilando o código open-source dos compiladores. Para isso compilamos o projecto de um compilador, e de seguida usamos esse novo compilador para se compilar a ele próprio. Se por acaso estivermos perante um compilador "malicioso", o programa dele resultante irá ser diferente do programa que tinha resultado do compilador de "confiança".

Sim, são situações de dar a volta à cabeça... mas infelizmente, no mundo actual são técnicas que se tornam indispensáveis para que se possa ir mantendo a confiança no software que se executa.

Sem comentários:

Enviar um comentário (problemas a comentar?)