Dakle, ovako piše u linkovanom članku:
Citat:
Myth 1: Open-source software is more secure than proprietary software
Dakle, opovrgava se mit da je open source softver
sigurniji od vlasničkog softvera. Šta on dokazuje? Da se mogu potkrasti propusti u open source softveru. Argument mu je da ne mogu ja to sve da iščitam. A, šta ako su drugi iščitali, svaku komponentu po neko? Argumant pada.
Citat:
Myth 2: Audited software is more secure than software which hasn’t been audited
Dakle, opovrgava mit da je revidiran softver
sigurniji od nerevidiranog.
Argument mu je da i u revizijama može nešto da promakne. Naveo je primer gde su na reviziji uočeni sigurnosni propusti, koji su i ispravljeni, ali da su naknadno pronađeni još neki. Pa sigirno je softver sigurniji sa manje propusta (ispravkama uočenih propusta na reviziji) nego sa više (da nije bilo revizije i da onda nisu ni ispravljeni). To što su naknadno uočeni neki zanači da revizijom broj propusta smanjen na nulu, ali znači da je smanjen.
Dalje kaže da se ispravkama mogu uneti novi propusti. Mogu, ali to obično nije slučaj. Ponekad naravno jeste.
Konačno, tvrdi da pošto se izmene vrše svaki dan, a revizije ne vrše svaki dan, da rezultat nije validan. Revizije zapravo doprinose sigurnosti jer se na njima uoče neki propusti koji ne bi bili uočeni.
Citat:
Myth 3: Many reported issues mean insecurity
Ovo je zaista mit, ali mu obrazloženje ne valja.
Da, sigurnost je verovatnoća da ću nešto da fasujem. Ako nisam zanimljiv cajberkriminalcima ili pripadam grupi koja im nije zanimljiva, to zaista doprinosi sigurnosti, jer mene zanima da li ću nešto fasovati ili neću, odnosno kolike su šanse da mi se nešto desi.
Inače, manje izveštaja o propustima zaista ne znači veću sigurnost, ali iz sasvim drugog razloga. Da li je teže biti svetski prvak u bacanju koplja ili u bacanju kugle? Koplje je lakše od kugle, ali mora dalje da se baci nego kugla. Kugla je teža od koplja, ali ne mora da se baci toliko daleko kao koplje. Na kraju, u obe discipline imam konkurenciju vrhunskih sportista, tako da na kraju izađe na isto.
Ovde imamo konkurenciju između istraživača koji traže propuste da bi se otklonili i kriminalaca koji traže propuste da bi ih zloupotrebili. Sve jedno je da li je iz nekog razloga teže i jednima i drugima (pa ima manje prijavljenih propusta) ili lakše i jednima i drugima (pa ima više prijavljenih propusta).
Citat:
Myth 4: Using open-source software packages is secure
Ovde daje iskaz o paketima, a onda u obrazloženju priča o riznicama paketa. Očigledno ne zna šta priča.
Zaista se može nešto fasovati iz riznica, ali su zaista manje šanse nego iz sumnjivih izvora, mada on ovde nije upotebio izraz "sigurnije", već "sigurno".
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.