Cuma, Aralık 1, 2023
Ana Sayfa Güvenlik LibreOffice: Kararlılık, güvenlik ve sürekli gelişim

LibreOffice: Kararlılık, güvenlik ve sürekli gelişim

- Advertisement -

En yaygın kullanılan açık kaynaklı ofis üretkenlik paketi olan LibreOffice’in onu tavsiye edecek pek çok özelliği var: zengin özelliklere sahip, kullanıcı dostu, iyi belgelenmiş, güvenilir, onu geliştirmek için çalışan aktif bir geliştirici topluluğuna sahip ve ücretsiz.

Pakette Writer (kelime işlemci), Calc (elektronik tablo uygulaması), Impress (sunum uygulaması), Draw (grafik düzenleyici), Math (matematik formülleri oluşturmaya ve düzenlemeye yönelik uygulama) ve Base (veritabanı yönetim yazılımı) bulunur.

Gelişimi, kar amacı gütmeyen bir Alman kuruluşu olan The Document Foundation (TDF) tarafından yönetilmektedir: Diğer şeylerin yanı sıra açık belge formatlarının ve açık standartların desteklenmesine yatırım yapıyor ve “hataların gizli olabileceği ve düşük kalitenin kabul edildiği” kapalı bir yazılım geliştirme sürecini reddediyor.

Başlangıç

LibreOffice kaynak kodunu temel alır. LibreOffice pazarlama eşbaşkanı Italo Vignoli’ye göre, geliştirme ve kalite güvencesi konusundaki şüpheli kararlarla damgasını vuran bir proje.

Help Net Security’ye şunları söyledi: “Projenin daha yaşlı üyeleri, dışarıdan katkıda bulunanlar tarafından geliştirilen önemli yamaların entegrasyonu konusundaki tartışmayı hâlâ hatırlıyor; bu, bunları ve diğer harici gelişmeleri entegre etmek için paralel bir sürümün ortaya çıkmasına yol açtı.”

Devralınan teknik borç yığınını ele almak için LibreOffice geliştiricileri, LibreOffice 3.x ve 4.x’in geliştirilmesi boyunca süren yoğun bir kaynak kodu temizleme ve yeniden düzenleme süreci üstlendiler.

Sonuç, artan yazılım kararlılığı ve güvenliği ile masaüstü, mobil ve bulutta bireysel üretkenliğe yönelik kapsamlı bir yazılım platformunun nihai gelişimi oldu.

LibreOffice geliştirme

LibreOffice’in masaüstü sürümü iki “çeşit” ile gelir: Topluluk (ev ve küçük ofis kullanıcıları için) ve Kurumsal (kurumlar ve büyük kuruluşlar için). İkincisinin versiyonları ve özel destek birkaç ortak şirket tarafından sağlanmaktadır.

LibreOffice’in ana sürümleri her altı ayda bir, genellikle Şubat ve Ağustos aylarında duyurulur.

TDF’nin işaret ettiği gibi, “on iki yıl ve beş sürüm döngüsünden (kod temizleme, kodu yeniden düzenleme, kullanıcı arayüzünü cilalama, yeni donanım ve yazılım platformlarına genişletme ve kullanıcıları desteklemek için OOXML ile birlikte çalışabilirliği optimize etme) sonra, tamamen yeni ürünler geliştirmek giderek zorlaşıyor. özelliklerin çoğu, mevcut özelliklerin iyileştirilmesi veya iyileştirilmesidir.”

Proje, kullanıcılara Microsoft Office’in OpenXML belge formatıyla uyumluluk sunmaya devam etmek için birlikte çalışabilirlik üzerinde çalışmaya devam ediyor.

Vignoli, çoğu kullanıcının Microsoft’un formatını kullanarak içerikleri üzerindeki kontrolden vazgeçtiklerini anlamadığını, çünkü şirketin yalnızca Office’in en son sürümü tarafından işlenen formatta bir değişiklik yaparak dosyalara erişimi istediği zaman engelleyebileceğini söylüyor. .

“Buna karşılık, LibreOffice’in ISO standart formatını seçerek, formatın sahipliği bağımsız olduğundan ve hiçbir yazılım belgelere erişimi engellemek amacıyla değişiklik yapamayacağından, kullanıcılar kendi içerikleri üzerinde kontrol sahibi olurlar.”

LibreOffice güvenli mi?

Çözümde hatalar ve güvenlik açıkları yok değil ama Vignoli’ye göre, MITRE CVE veritabanına dayalı rakamlara göre LibreOffice, güvenlik açığı açısından kapalı kaynak alternatiflerine göre çok daha iyi.

Proje güvenliği devam eden bir çaba olarak ele alıyor, bu nedenle yeni bir sürüm üzerinde çalışırken hataları ve istismar edilebilir güvenlik açıklarını ortadan kaldırmayı amaçlayan etkinlik normalden daha yoğun değil.

“Tüm katkılar, her katkının kıdemli bir geliştirici tarafından incelenmesini gerektiren bir yama yönetim sistemi olan Gerrit aracılığıyla yönetiliyor. Daha sonra Tinderbox’lar LibreOffice’i farklı işletim sistemleri için derliyor ve derleme başarılı olursa yamalar ana kaynak koduna entegre ediliyor” diye süreci detaylandırdı.

“Ancak bu noktada, uygulamadaki herhangi bir çökmeyi analiz etme görevi de verilen 50.000’den fazla belgenin (açılma, kapanma, düzenleme) işlenmesiyle otomatik test aşaması ve gönüllü kalite güvence ekibi tarafından manuel test aşaması başlıyor. .”

Kullanıcılara sunulan sürümde hataların ve gerilemelerin önlenmesine yönelik etkinlik süreklidir: Ana sürümün duyurulmasından sonra, ilk test aşamasından kaçan hataları ve gerilemeleri düzelten aylık/iki ayda bir küçük sürümler yayınlanır.

“Güvenlik açıkları tamamen farklı bir şekilde ele alınıyor. Çoğu durumda, özel laboratuvarlar tarafından özel bir yazılımla veya bulanıklaştırma yöntemleri (örneğin, Google tarafından tüm açık kaynaklı projelere ücretsiz olarak sağlanan OSS-Fuzz paketi) kullanılarak tespit edilirler. Bir güvenlik açığı raporu geldiğinde, güvenlik açığının varlığını doğrulamak ve mümkün olan en kısa sürede düzeltmek için harekete geçen yazılım güvenliği uzmanlarından oluşan bir ekip bulunur. Böyle bir durumda, normalde küçük bir sürüm yayınlanır ve kullanıcılara hemen yükseltme yapmaları tavsiye edilir” diye ekledi.

Güvenlik araştırmacıları potansiyel güvenlik açıklarını özel bir e-posta adresine (officesecurity@lists.freedesktop.org) bildirebilirler ve raporlar 48 saat içinde doğrulanır.

Güvenlik açığı doğrulanırsa, ekibin güvenlik uzmanları çözüm üzerinde çalışır ve güvenlik açığına bir numara atar; bu numara ilk önce ambargo altında yalnızca güvenlik uzmanlarına iletilerek herkese sorunu düzeltme şansı verilir (çünkü güvenlik açıkları genellikle birden fazla güvenlik açığında ortak olan yazılım bileşenlerini içerir). Çözümün koruma yazılımına entegre edilmesi tarihinden 30 gün sonra kamuya açık veri tabanına girilir (Bildirilen hata bir güvenlik açığını temsil etmiyorsa, düzenli bir sorun olarak açıkta çalışılacaktır.)

2022’nin başında AB ödül programları ve LibreOffice de bunların arasındaydı. Sonuçlar olumlu olsa da TDF’nin kendi başına bir güvenlik açığı ödül programı başlatma planı yok, bunun nedeni kısmen kalite güvencesine odaklanmış büyük bir gönüllü topluluğunun mevcut olması.

“Elbette bu, gelecekte benzer bir şey düşünmemize engel değil, ancak kaynaklar bireysel kullanıcı bağışlarıyla sınırlı ve dolayısıyla oldukça küçük. LibreOffice kullanan şirketlerin bireysel kullanıcıların bağışladığı miktarla orantılı bir yatırım yapması halinde durum tamamen farklı olurdu” diye ekledi.

Yukarı ve aşağı yönde tedarik zinciri güvenliği üzerinde çalışmak

Bir CNA olarak Document Foundation, aynı sorundan etkilenebilecek diğer açık kaynak projelerin geliştiricilerinin işini kolaylaştırmak için her bir güvenlik açığının doğru bir tanımını sağlamaya çalışmaktadır.

LibreOffice’in kendisi diğer projeler tarafından geliştirilen birçok bileşeni entegre ediyor, bu nedenle geliştiricileri kütüphaneleri ya yeni sürümlere ya da alanda mevcut olan yeni teknolojilere dayalı olarak sürekli olarak yeniden düzenliyor.

Vignoli, “Genel olarak, bağımlılıkları azaltmanın ve kodu basitleştirmenin yanı sıra, yeniden düzenleme, LibreOffice’in bakımını daha kolay ve çok daha sağlam hale getirdi” dedi.

“Aşağı tarafta, The Document Foundation tarafından geliştirilen bileşenleri entegre eden açık kaynaklı projeler, örneğin bazı özel formatlar (Microsoft Publisher ve Visio, Apple Keynote, vb. gibi) için içe aktarma filtreleri, LibreOffice geliştiricilerinin profesyonelliğine dayanıyor. Aslında tüm kütüphaneler ilk olarak LibreOffice tarafından kullanılır, dolayısıyla geliştirme aynı kalite sürecine saygı gösterir. Aynı şey elbette LibreOffice Teknoloji platformunu temel alan yazılımlar ve dolayısıyla ekosistemdeki şirketler tarafından piyasaya sürülen ve masaüstü sürümünün geliştirilmesine katkıda bulunan LibreOffice’in mobil ve bulut sürümleri için de geçerlidir. ”

AB Siber Dayanıklılık Yasası ve LibreOffice

AB Siber Dayanıklılık Yasası (CRA) “Bu tür ürünlerin üreticileri ve perakendecileri için zorunlu siber güvenlik gereklilikleri” getirerek, dijital bileşen içeren ürün veya yazılımların kullanılmasından kaynaklanan güvenlik riskini en aza indirmeyi amaçlıyor ve bu koruma, ürünün yaşam döngüsü boyunca uzanıyor.

Ancak açık kaynak topluluğu ve çeşitli açık kaynak projeleri, bazı gereksinimlerin (ve ilgili maliyet ve genel giderlerin) kendileri üzerindeki etkisine ilişkin endişelerini dile getirdi.

“Temmuz ayında ITRE Komisyonu tarafından onaylanan ve Eylül ayında başlayacak olan Trilogue’da tartışılacak olan son versiyon, tamamen farklı ekonomik potansiyel karşısında kar amacı gütmeyen vakıflara ticari açık kaynak projelerle aynı türden yükümlülükler getiriyor. ve organizasyonel özellikler,” diye açıkladı Vignoli.

“LibreOffice söz konusu olduğunda, içerik açısından bir sorun olmayan ancak katkıların çoğunun gönüllülük esasına dayalı olduğu bir proje için sorun olan geliştirme ve güvenlik sürecine ilişkin kapsamlı dokümantasyon yayınlamanın yanı sıra, Her sürüm için yayın tarihinden itibaren 5 yıl süreyle destek garantisi. Yılda iki büyük sürüm ve bir düzine küçük sürüm göz önüne alındığında, bu gerçekten savunulamaz.

Buna, kayıt sürecinden geçme zorunluluğunu da ekleyin. Bu oldukça pahalıdır ve tüm sürümler için yönetilmesi imkansızdır ve kaçınılmaz sonuç LibreOffice’in sürüm sayısını azaltması olacaktır.

“Bunun, geliştirme süreci ve ilgili tüm faaliyetler ile projenin yenilikçi kapasitesi üzerinde yıkıcı bir etkisi olacaktır” diye ekliyor.

Document Foundation, Siber Dayanıklılık Yasası’nın gelişimini yakından izliyor, açık kaynak topluluk toplantılarının çoğuna katılmış ve CRA’nın ilk taslağı hakkında kamuya açık yorumlarda bulunmuştur.

“Maalesef tüm bunların şu ana kadar pek bir faydası olmadı, çünkü ilk taslaktan bu yana CRA’yı yüksek sesle destekleyen özel yazılım savunucularının ortaya koyduğu lobi faaliyetleri daha başarılı oldu. Ancak henüz umudumuzu tamamen yitirmiş değiliz” diye paylaştı Vignoli.

Siber Dayanıklılık Yasasının gerektirdiği gereksinimler netleşene kadar TDF, LibreOffice geliştirme faaliyetlerinde değişiklik yapmayacaktır.

“Ancak güvenlik iletişimine yönelik tutumu değiştirmemiz gerektiği açık, çünkü karşılaşacağımız sorunların çoğu, iletişimin yanlış anlaşılması korkusuyla açık kaynaklı yazılım endüstrisinin güvenlik konusunda hiçbir zaman yeterince iletişim kurmamasından kaynaklanıyor. (yani güvenlik sorunlarını gizlemek için güvenlikten bahsediyorum). Ne yazık ki, zayıf iletişim tam tersi şekilde yorumlandı, yani güvenlik hakkında konuşmuyorum çünkü bununla ilgilenmiyorum” diye sözlerini tamamladı.

BENZER YAZILAR

Kaşaği—-ömer Seyfettin

KAŞAĞI----ÖMER SEYFETTİN KİTABIN ADI : KAŞAĞIKİTABIN YAZARI :ÖMER SEYFETTİNYAYIN EVİ VE ADRESİ: ŞAFAK YAYIN EVİ İSTANBULBASIM YILI :19971. KİTABIN KONUSU: Kardeşine iftira atıp, onun...

FDF

FDF dosyası nedir? FDF (Form Veri Biçimi) dosyası, bir PDF dosyasının form alanlarından veri dışa aktarılarak oluşturulan bir metin belgesidir. Yalnızca bir PDF dosyasında bulunan form alanlarından...

Twitter, Cihaz Etiketlerini Kaldıracak, Tweetlemek için iPhone’ları Güvenle Kullanabilecek

Sanki herkesin gitmesini istiyormuş gibi. Twitter'ın yeni sahibi Elon Musk, bu sefer en başta kimsenin ilgilenmediğini iddia ederek hizmet için tartışmalı bir değişiklik daha...

POPÜLER YAZILAR

iPhone 15 Pro Max’in En İyi Kamera Özelliği Gelecek Yıl iPhone 16 Pro’ya da Gelecek

Apple, önümüzdeki yıl Eylül ayında iPhone 16 ve iPhone 16 Pro modellerini kamera bölümünde oldukça önemli güncellemelerle duyuracak. iPhone 15 Pro Max, gelişmiş yakınlaştırma...

Bir Pulsar’ın Tuhaf Parlaklık Değişimlerinin Gizemini Çözmek

Üçü de dahil olmak üzere hem yerde hem de uzayda bulunan 12 teleskopu kapsayan kapsamlı bir astronomik çalışma Avrupa Güney Gözlemevi (ESO) gökbilimciler, tesislerdeki...

Nesiller Boyunca Bakteriyel Ekip Çalışmasını Ortaya Çıkarmak

Bakteriler topluluklar oluşturduğunda işbirliği yapar ve nesiller boyunca besinleri paylaşırlar. Basel Üniversitesi'ndeki araştırmacılar, yeni geliştirilen bir yöntemi kullanarak bunu ilk kez başarıyla gösterdiler. Bu...

Ultrason – Zehirli “Sonsuza Kadar Kimyasallardan” Kurtulmanın Yeni Bir Yolu

Yeni yöntem, tehlikeli kimyasalları zararsız maddelere ayırıyor. Yeni bulgular, ultrason teknolojisinin, kirlenmiş yeraltı suyunu arıtmak için genellikle "sonsuza kadar kimyasallar" olarak adlandırılan per- ve poli-floroalkil...