اولاً که کد مبدأ هر نرمافزار آزادی رو لااقل به اندازهٔ تعداد مشارکتکنندگانش آدم خوندهان!
یه نرم افزار آزاد غیرمعروف مثلا ۱۰۰۰ خطی رو کسی میخونه بنظرت؟
بعد گیریم که خوندن، آیا تضمینی هست واقعا اون کد، کد اون نرم افزار باشه؟
تضمین بیلد از کد منبع؟ خب ما باید شما رو یاد قضیه xz بندازیم که حین فرایند کامپایل اون اسکریپت آلوده اضافه میشد؟
پس بهتره اتفاقات xz را مرور کنید. مشکلی که ازش صحبت میکنید با وجود پیچیدگی پیادهسازی که در پیوند زیر میتونید توضیح خوبی ازش ببینید پس از شناسایی در اولین فرصت ممکن حل میشه. هر چند که توی خیلی از توزیعهای اصلی اصلا وارد نشده بود.
برای نمونه اگر از دبیان پایدار روی سرور استفاده کرده باشید اصلا بستهٔ openssh که شامل بارگذاری بستهٔ آلودهٔ xz هم بوده برای این توزیع بستهبندی نشده که احتمال آسیب پذیری برای ماشین وجود داشته باشه.
اینو مقایسه کنید با نرمافزار غیر آزادی مثل ویندوز. پس از لو رفتن کدهای منبع ویندوز XP و انتشار عمومی اون جدای از رسوایی استفادهٔ بدون پروانه از کدهایی با پروانهٔ انتشار GPL شماری حفرهٔ امنیتی برای سیستمهای ویندوزی به شکل کلی در دسترس قرار گرفت.
پس از این اتفاق مشخص شد که از آسیبپذیریهای یافت شدهٔ روی همان نسخهٔ قدیمی برای نفوذ به سیستمعاملهای جدیدتر ویندوز ۷ و ۸ هم میتوان استفاده کرد. دلیل امکان چنین کاری بسته بودن کد منبع ویندوز است.
به عبارت دیگر با یافتن آسیبپذیری برای همان کد در دسترس به دلیل به روز نشدن و دریافت نکردن وصلههای امنیتی لازم حتا برای ویندوزهای جدید نیز میشود استفاده کرد.
شما برای حل مشکلات اینچنینی وابسته به سازندهٔ سیستمعامل هستید که در اینجا پشتیبانی لازم را از اون ارائه نکردند. البته چنین توقعی هم نباید داشت.
این را با مدل توسعهٔ نرمافزارهای آزاد بسنجید.
بدیهی است وقتی افراد زیادی یک برنامه رو ببینند احتمال کشف آسیبپذیریها و مشکلات اون بسیار بیشتر از برنامهای است که به شکل مخفی نگهداری و توسعه داده میشه.
این
نقل قول هم مرتبط با این موضوع است.
given enough eyeballs, all bugs are shallow
به وضوح نرمافزار مالکیتی مزیتی نسبت به نرمافزار آزاد حداقل در همین یک مورد ندارد.
بعد گیریم که خوندن، آیا تضمینی هست واقعا اون کد، کد اون نرم افزار باشه؟
خیر تضمینی نیست ولی عاقلانهتر از اینه که چیزی که حتا نمی دونیم چیه رو استفاده کنیم.
از منظر فنی یک برنامهٔ باینری کد بسته هرکاری میتونه انجام بده.
به شکل مشابهی ما در زمان بیماری به امید بهبود داروهایی مصرف میکنیم که پزشک تجویز کرده است.
تضمینی به بهبود نیست و ممکنه اون دارو مشکلاتی هم داشته باشه ولی باز بهتر از راههای دیگر است.
این ارسال و ارائهٔ معرفی شده در اون هم میتونه خوب باشه