LibreOffice: Kararlılık, güvenlik ve sürekli gelişim


En yaygın kullanılan açık kaynaklı ofis üretkenlik paketi olan LibreOffice’in onu tavsiye edecek pek çok özelliği var: zengin özelliklere sahip, kullanıcı dostu, iyi belgelenmiş, güvenilir, onu geliştirmek için çalışan aktif bir geliştirici topluluğuna sahip ve ücretsiz.

LibreOffice güvenlik geliştirmesi

Pakette Writer (kelime işlemci), Calc (elektronik tablo uygulaması), Impress (sunum uygulaması), Draw (grafik düzenleyici), Math (matematik formülleri oluşturmaya ve düzenlemeye yönelik uygulama) ve Base (veritabanı yönetim yazılımı) bulunur.

Gelişimi, diğer şeylerin yanı sıra, açık belge formatlarının ve açık standartların desteklenmesine yatırım yapan ve “hataların gizli kalabileceği ve kapalı bir yazılım geliştirme sürecini” reddeden, kar amacı gütmeyen bir Alman kuruluşu olan The Document Foundation (TDF) tarafından yönetilmektedir. kalitesizlik kabul edilir”.

Başlangıç

LibreOffice, LibreOffice pazarlama eşbaşkanı Italo Vignoli’ye göre geliştirme ve kalite güvencesi konusunda şüpheli kararlarla işaretlenmiş bir proje olan OpenOffice’in kaynak kodunu temel alıyor.

Help Net Security’ye şunları söyledi: “Projenin daha yaşlı üyeleri, dışarıdan katkıda bulunanlar tarafından geliştirilen önemli yamaların entegrasyonu konusundaki tartışmayı hâlâ hatırlıyor; bu, bunları ve diğer harici gelişmeleri entegre etmek için paralel bir sürümün ortaya çıkmasına yol açtı.”

Devralınan teknik borç yığınını ele almak için LibreOffice geliştiricileri, LibreOffice 3.x ve 4.x’in geliştirilmesi boyunca süren yoğun bir kaynak kodu temizleme ve yeniden düzenleme süreci üstlendiler.

“Bu çaba, kod incelemesi için Gerrit, sürekli entegrasyon için Git, kalite güvencesi için Bugzilla, kaynak kodu araştırması için OpenGrok, Weblate gibi araçların uygulanmasıyla geliştiricilere hizmet edecek bir altyapının oluşturulmasıyla birleştirildi. performans ve çarpışma analizi için testlerin yanı sıra yerelleştirme için de” diye açıkladı.

Sonuç, artan yazılım kararlılığı ve güvenliği ile masaüstü, mobil ve bulutta bireysel üretkenliğe yönelik kapsamlı bir yazılım platformunun nihai gelişimi oldu.

LibreOffice geliştirme

LibreOffice’in masaüstü sürümü iki “çeşit” ile gelir: Topluluk (ev ve küçük ofis kullanıcıları için) ve Kurumsal (kurumlar ve büyük kuruluşlar için). İkincisinin versiyonları ve özel destek birkaç ortak şirket tarafından sağlanmaktadır.

LibreOffice’in ana sürümleri her altı ayda bir, genellikle Şubat ve Ağustos aylarında duyurulur.

LibreOffice Topluluğunun en son sürümü (v7.6), bazı yeni özellikler ve eski özelliklerin güncellenmesiyle geçen hafta yayınlandı.

TDF’nin işaret ettiği gibi, “on iki yıl ve beş sürüm döngüsünden (kod temizleme, kodu yeniden düzenleme, kullanıcı arayüzünü cilalama, yeni donanım ve yazılım platformlarına genişletme ve kullanıcıları desteklemek için OOXML ile birlikte çalışabilirliği optimize etme) sonra, tamamen yeni ürünler geliştirmek giderek zorlaşıyor. özelliklerin çoğu, mevcut özelliklerin iyileştirilmesi veya iyileştirilmesidir.”

Proje, kullanıcılara Microsoft Office’in OpenXML belge formatıyla uyumluluk sunmaya devam etmek için birlikte çalışabilirlik üzerinde çalışmaya devam ediyor. (LibreOffice, ISO/IEC 26300 standardında belirtildiği gibi Açık Belge Formatını kullanır.)

Vignoli, çoğu kullanıcının Microsoft’un formatını kullanarak içerikleri üzerindeki kontrolden vazgeçtiklerini anlamadığını, çünkü şirketin yalnızca Office’in en son sürümü tarafından işlenen formatta bir değişiklik yaparak dosyalara erişimi istediği zaman engelleyebileceğini söylüyor. .

“Buna karşılık, LibreOffice’in ISO standart formatını seçerek, formatın sahipliği bağımsız olduğundan ve hiçbir yazılım belgelere erişimi engellemek amacıyla değişiklik yapamayacağından, kullanıcılar kendi içerikleri üzerinde kontrol sahibi olurlar.”

LibreOffice güvenli mi?

Çözümde hatalar ve güvenlik açıkları yok değil ama Vignoli’ye göre, MITRE CVE veritabanına dayalı rakamlara göre LibreOffice, güvenlik açığı açısından kapalı kaynak alternatiflerine göre çok daha iyi.

“Bu, olgun güvenlik açığı yönetimi uygulamaları ve CVE Numaralandırma Yetkilisi olarak onaylanarak yazılım kullanıcıları için siber güvenliğe olan bağlılığıyla tanınan LibreOffice güvenlik ekibinin son derece profesyonel faaliyetlerinin bir sonucudur” diyor.

Proje güvenliği devam eden bir çaba olarak ele alıyor, bu nedenle yeni bir sürüm üzerinde çalışırken hataları ve istismar edilebilir güvenlik açıklarını ortadan kaldırmayı amaçlayan etkinlik normalden daha yoğun değil.

“Tüm katkılar, her katkının kıdemli bir geliştirici tarafından incelenmesini gerektiren bir yama yönetim sistemi olan Gerrit aracılığıyla yönetiliyor. Daha sonra Tinderbox’lar LibreOffice’i farklı işletim sistemleri için derliyor ve derleme başarılı olursa yamalar ana kaynak koduna entegre ediliyor” diye süreci detaylandırdı.

“Ancak bu noktada, uygulamadaki herhangi bir çökmeyi analiz etme görevi de verilen 50.000’den fazla belgenin (açılma, kapanma, düzenleme) işlenmesiyle otomatik test aşaması ve gönüllü kalite güvence ekibi tarafından manuel test aşaması başlıyor. .”

Kullanıcılara sunulan sürümde hataların ve gerilemelerin önlenmesine yönelik etkinlik süreklidir: Ana sürümün duyurulmasından sonra, ilk test aşamasından kaçan hataları ve gerilemeleri düzelten aylık/iki ayda bir küçük sürümler yayınlanır.

“Güvenlik açıkları tamamen farklı bir şekilde ele alınıyor. Çoğu durumda, özel laboratuvarlar tarafından özel bir yazılımla veya bulanıklaştırma yöntemleri (örneğin, Google tarafından tüm açık kaynaklı projelere ücretsiz olarak sağlanan OSS-Fuzz paketi) kullanılarak tespit edilirler. Bir güvenlik açığı raporu geldiğinde, güvenlik açığının varlığını doğrulamak ve mümkün olan en kısa sürede düzeltmek için harekete geçen yazılım güvenliği uzmanlarından oluşan bir ekip bulunur. Böyle bir durumda, normalde küçük bir sürüm yayınlanır ve kullanıcılara hemen yükseltme yapmaları tavsiye edilir” diye ekledi.

Güvenlik araştırmacıları potansiyel güvenlik açıklarını özel bir e-posta adresine ([email protected]) bildirebilirler ve raporlar 48 saat içinde doğrulanır.

Güvenlik açığı doğrulanırsa, ekibin güvenlik uzmanları çözüm üzerinde çalışır ve güvenlik açığına bir numara atar; bu numara ilk önce ambargo altında yalnızca güvenlik uzmanlarına iletilerek herkese sorunu düzeltme şansı verilir (çünkü güvenlik açıkları genellikle birden fazla güvenlik açığında ortak olan yazılım bileşenlerini içerir). Çözümün koruma yazılımına entegre edilmesi tarihinden 30 gün sonra kamuya açık veri tabanına girilir (Bildirilen hata bir güvenlik açığını temsil etmiyorsa, düzenli bir sorun olarak açıkta çalışılacaktır.)

2022’nin başlarında AB, çeşitli açık kaynaklı çözümler için hata ödül programlarına sponsor oldu ve LibreOffice de bunların arasındaydı. Sonuçlar olumlu olsa da TDF’nin kendi başına bir güvenlik açığı ödül programı başlatma planı yok, bunun nedeni kısmen kalite güvencesine odaklanmış büyük bir gönüllü topluluğunun mevcut olması.

“Elbette bu, gelecekte benzer bir şey düşünmemize engel değil, ancak kaynaklar bireysel kullanıcı bağışlarıyla sınırlı ve dolayısıyla oldukça küçük. LibreOffice kullanan şirketlerin bireysel kullanıcıların bağışladığı miktarla orantılı bir yatırım yapması halinde durum tamamen farklı olurdu” diye ekledi.

Yukarı ve aşağı yönde tedarik zinciri güvenliği üzerinde çalışmak

Bir CNA olarak Document Foundation, aynı sorundan etkilenebilecek diğer açık kaynak projelerin geliştiricilerinin işini kolaylaştırmak için her bir güvenlik açığının doğru bir tanımını sağlamaya çalışmaktadır.

LibreOffice’in kendisi diğer projeler tarafından geliştirilen birçok bileşeni entegre ediyor, bu nedenle geliştiricileri kütüphaneleri ya yeni sürümlere ya da alanda mevcut olan yeni teknolojilere dayalı olarak sürekli olarak yeniden düzenliyor.

Vignoli, “Genel olarak, bağımlılıkları azaltmanın ve kodu basitleştirmenin yanı sıra, yeniden düzenleme, LibreOffice’in bakımını daha kolay ve çok daha sağlam hale getirdi” dedi.

“Aşağı tarafta, The Document Foundation tarafından geliştirilen bileşenleri entegre eden açık kaynaklı projeler, örneğin bazı özel formatlar (Microsoft Publisher ve Visio, Apple Keynote, vb. gibi) için içe aktarma filtreleri, LibreOffice geliştiricilerinin profesyonelliğine dayanıyor. Aslında tüm kütüphaneler ilk olarak LibreOffice tarafından kullanılır, dolayısıyla geliştirme aynı kalite sürecine saygı gösterir. Aynı şey elbette LibreOffice Teknoloji platformunu temel alan yazılımlar ve dolayısıyla ekosistemdeki şirketler tarafından piyasaya sürülen ve masaüstü sürümünün geliştirilmesine katkıda bulunan LibreOffice’in mobil ve bulut sürümleri için de geçerlidir. ”

AB Siber Dayanıklılık Yasası ve LibreOffice

Yaklaşan AB Siber Dayanıklılık Yasası (CRA), “bu tür ürünlerin üreticileri ve perakendecileri için zorunlu siber güvenlik gereklilikleri” getirerek, dijital bileşenli ürün veya yazılım kullanmanın güvenlik riskini en aza indirmeyi amaçlıyor ve bu koruma, ürünün yaşam döngüsü boyunca uzanıyor.

Ancak açık kaynak topluluğu ve çeşitli açık kaynak projeleri, bazı gereksinimlerin (ve ilgili maliyet ve genel giderlerin) kendileri üzerindeki etkisine ilişkin endişelerini dile getirdi.

“Temmuz ayında ITRE Komisyonu tarafından onaylanan ve Eylül ayında başlayacak olan Trilogue’da tartışılacak olan son versiyon, tamamen farklı ekonomik potansiyel karşısında kar amacı gütmeyen vakıflara ticari açık kaynak projelerle aynı türden yükümlülükler getiriyor. ve organizasyonel özellikler,” diye açıkladı Vignoli.

“LibreOffice söz konusu olduğunda, içerik açısından bir sorun olmayan ancak katkıların çoğunun gönüllülük esasına dayalı olduğu bir proje için sorun olan geliştirme ve güvenlik sürecine ilişkin kapsamlı dokümantasyon yayınlamanın yanı sıra, Her sürüm için yayın tarihinden itibaren 5 yıl süreyle destek garantisi. Yılda iki büyük sürüm ve bir düzine küçük sürüm göz önüne alındığında, bu gerçekten savunulamaz.

Buna, tüm sürümler için oldukça pahalı ve yönetilmesi imkansız olan CE işareti ile kayıt sürecinden geçme zorunluluğu da eklendiğinde, LibreOffice’in sürüm sayısını azaltması kaçınılmaz sonuç olacaktır.

“Bunun, geliştirme süreci ve ilgili tüm faaliyetler ile projenin yenilikçi kapasitesi üzerinde yıkıcı bir etkisi olacaktır” diye ekliyor.

Document Foundation, Siber Dayanıklılık Yasası’nın gelişimini yakından izliyor, açık kaynak topluluk toplantılarının çoğuna katılmış ve CRA’nın ilk taslağı hakkında kamuya açık yorumlarda bulunmuştur.

“Maalesef tüm bunların şu ana kadar pek bir faydası olmadı, çünkü ilk taslaktan bu yana CRA’yı yüksek sesle destekleyen özel yazılım savunucularının ortaya koyduğu lobi faaliyetleri daha başarılı oldu. Ancak henüz umudumuzu tamamen yitirmiş değiliz” diye paylaştı Vignoli.

Siber Dayanıklılık Yasasının gerektirdiği gereksinimler netleşene kadar TDF, LibreOffice geliştirme faaliyetlerinde değişiklik yapmayacaktır.

“Ancak güvenlik iletişimine yönelik tutumu değiştirmemiz gerektiği açık, çünkü karşılaşacağımız sorunların çoğu, iletişimin yanlış anlaşılması korkusuyla açık kaynaklı yazılım endüstrisinin güvenlik konusunda hiçbir zaman yeterince iletişim kurmamasından kaynaklanıyor. (yani güvenlik sorunlarını gizlemek için güvenlikten bahsediyorum). Ne yazık ki, zayıf iletişim tam tersi şekilde yorumlandı, yani güvenlik hakkında konuşmuyorum çünkü bununla ilgilenmiyorum” diye sözlerini tamamladı.



Source link