K
KKalkulator.Place
Kalkulator
Nazad
HrvatskaHrvatska
Blog
CtrlK
← Nazad na blog
  1. Hrvatska
  2. /
  3. Blog
  4. /
  5. Open source sigurnost: je li besplatni softver zaista sigurniji od komercijalnog
Objavljeno 31. svibnja 2026.·Aron Balog

Open source sigurnost: je li besplatni softver zaista sigurniji od komercijalnog

Heartbleed je prošao neotkriven 2 godine u OpenSSL-u. Log4Shell se još 2025. preuzima 40 milijuna puta godišnje u ranjivoj verziji. Paradoks transparentnog koda.

Šareni programski kod prikazan na monitoru računala u tamnoj prostoriji
Šareni programski kod prikazan na monitoru računala u tamnoj prostoriji

Travanj 2014. OpenSSL, knjižnica koja štiti komunikaciju na ogromnom dijelu interneta, dobiva zakrpu za grešku nazvanu Heartbleed. Greška postoji od 2012. — dvije godine u kodu koji je bio javno dostupan, koji su koristile stotine milijuna servera, koji je čitao i auditirao nepoznat broj programera. Netko je napokon vidio. Ili je možda netko znao, godinama.

"Otvoreni kod" i "siguran kod" nisu sinonimi. Ali ni suprotnosti. Pitanje je kompliciranije od "besplatno = loše" ili "besplatno = transparentno = sigurno" — i odgovor otkriva nešto zanimljivo o tome kako sigurnost softaware zapravo funkcionira.

Što znači "open source"

Open source softver je softver čiji je izvorni kod javno dostupan — može ga čitati, modificirati i distribuirati bilo tko, pod uvjetima određene licence. Primjeri: Linux, Android, Firefox, LibreOffice, WordPress, Python, Apache, OpenSSL.

Komercijalni (proprietary) softver drži izvorni kod u tajnosti — ne možete vidjeti što program zapravo radi na razini koda. Primjeri: Windows, macOS, Adobe Photoshop, Microsoft Office.

Intuitivni argument za open source sigurnost je "Linus's Law": s dovoljno mnogo pogleda, sve greške su plitke. Ako tisuće programera može čitati kod, greške će biti pronađene brže. Teorija zvuči uvjerljivo. Praksa je složenija.

Heartbleed: dva godina u javnom kodu

OpenSSL je knjižnica koja implementira SSL/TLS enkripciju. Koristi je procijenjeno 66% svih HTTPS web stranica u trenutku Heartbleed otkrića. Grešku — buffer over-read u implementaciji TLS heartbeat proširenja — unio je volonter programer u prosincu 2011. Commit je prošao code review. Zakrpan je u travnju 2014.

Procjena: 17% svih secure web servera na internetu je bilo ranjivo. Napadač je mogao čitati 64 KB radne memorije servera pri svakom upitu — i ponavljati upite. U toj memoriji: ključevi, lozinke, session tokeni. Sve.

Dva i pol godine, javno dostupan kod, deseci tisuća programera koji ga koriste. Nitko nije primijetio. Ili nije prijavilo.

Log4Shell: ranjivost koja se i dalje preuzima

Prosinac 2021. — u Log4j, Java knjižnici za logiranje koju koriste gotovo svi Java sustavi na internetu (Netflix, Amazon, Apple, Microsoft, Minecraft), otkrivena je ranjivost Log4Shell. CVSS score: 10.0/10.0 — maksimum. Remote code execution bez autentikacije.

Log4Shell: preuzimanja ranjive verzije 2021-2025 Log4j preuzimanja ranjive verzije (Sonatype podaci) 35% ranjivo 2022 28% ranjivo 2023 20% ranjivo 2024 13% ranjivo 2025 2025: ~40M od 300M godišnjih preuzimanja Log4j je i dalje ranjiva verzija

Zakrpana verzija Log4j dostupna je od prosinca 2021. — gotovo četiri godine. U 2025. godini od ukupno 300 milijuna godišnjih preuzimanja Log4j, otprilike 40 milijuna (13%) je i dalje ranjiva verzija. U nekim zemljama taj postotak je dramatično viši: India 29%, Kina 28%, Japan 22%.

Ovo nije greška u open source modelu samo po sebi — to je greška u načinu kako se softver ažurira. Ali demonstrira da "dostupnost zakrpe" i "primjena zakrpe" nisu isti problem.

Paradoks transparentnosti: prednost ili slabost

Open source transparentnost ima dvostruki učinak:

Prednost: Istraživači sigurnosti, akademici, tvrtke i entuzijasti mogu auditirati kod. Greška pronađena od strane istraživača koji ju prijavi — to je napad spriječen. Google Project Zero, Trend Micro i deseci neovisnih istraživača kontinuirano traže greške u popularnim open source projektima jer mogu.

Slabost: Napadači ga čitaju isto kao i brani teri. Kada je ranjivost objavljena (CVE), ali zakrpa još nije primijenjena na svim sustavima — otvoreni kod kaže napadaču točno što treba iskoristiti. "Patch gap" između objave ranjivosti i primjene zakrpe je kritičan period.

Proprietary paradoks: Microsoft, Apple i slični ne objavljuju kod, ali imaju ogromne sigurnosne timove koji interno auditiraju. Ranjivosti postoje — i u proprietary softveru ih ima podjednako ili više — ali ne možete ih sami pronaći. Što nije nužno bolje jer napadači imaju alate za reverse engineering binarnih datoteka.

Tko zapravo auditira open source

"Tisuće programera gledaju kod" zvuči uvjerljivo, ali nije realistično. OpenSSL je knjižnicu s Heartbleed greškom godinama auditirao mali tim — dva redovita maintainera i nekolicina volontera. Nije to "tisuće očiju"; bio je to projekt koji krepa od nedostatka resursa dok ga svi koriste.

Situacija se promijenila. Nakon Heartbleeda, Linux Foundation je pokrenuo Core Infrastructure Initiative, a potom OpenSSF (Open Source Security Foundation) — inicijativa koja financira sigurnosne audite kritičnih open source projekata. Chromiumov sigurnosni tim, Googleov Project Zero i Microsoftov Security Research tim danas aktivno pridonose sigurnosti open source projekata.

Ali dugi rep "manje važnih" open source projekata ostaje neauditiran. Svaka web stranica koja koristi React, Express i desetak npm paketa implicitno se oslanja na sigurnost stotina tisuća redova koda koji nitko nije auditirao.

Kako procijeniti sigurnost softvera

Nije bitno je li softver open ili closed source — bitno je:

Aktivnost projekta: Koliko često dolaze ažuriranja? Koliko brzo se reagira na prijavljene ranjivosti? Projekt koji nije ažuriran dvije godine je rizičan bez obzira na model.

Veličina i financiranje zajednice: Projekti koji koriste tisuće tvrtki (Linux, curl, OpenSSL) dobivaju realne audite. Projekt s 200 GitHub zvjezdica i jednim maintainerom — vjerovatno ne.

CVE historija i odgovor: Koliko CVE-ova je projekt imao? Koliko brzo su zakrpani? Brzi odgovor je dobar znak, bez obzira na broj ranjivosti.

Supply chain rizik: Svaki npm, pip ili Maven paket koji koristite povlači sve pakete koje on koristi. Log4j je bio u stotinama aplikacija čiji autori nisu ni znali da ga koriste.

Heartbleed nije greška open source filozofije — bio je greška u tome što kritična infrastruktura nije imala adekvatne resurse. Log4Shell nije argument za zatvoreni kod — nego argument za aktivno upravljanje softverskim ovisnostima.

Pitanje nije "open ili closed" — nego "tko, s koliko resursa, auditira ovaj kod." I to vrijedi za oba modela.

Izvori i dodatno čitanje

  • Log4Shell preuzimanja 2025: 40 milijuna ranjive verzije (Infosecurity)
  • The untold story of Log4Shell (GitHub Blog)
  • Heartbleed — OpenSSL ranjivost (Coral Tech Team)
  • Persistence of Open Source Vulnerabilities (Sonatype)
  • Open Source sigurnost: best practices (Wiz)

Više članaka

  • ugljični otisakAI energija

    Ugljični otisak interneta: jedan ChatGPT upit troši 10× više struje od Google pretrage

    1. lipnja 2026.

  • e-otpadrecikliranje

    E-otpad: 72 milijuna tona godišnje i samo 20% se pravilno reciklira

    1. lipnja 2026.

  • sleep trackingwearables

    Sleep tracking: vaš smartwatch kaže 23% deep sleep — ali možete li mu vjerovati?

    1. lipnja 2026.

KKalkulator.Place

Besplatni kalkulatori plate za Hrvatsku, BiH i Srbiju.

Ažurirano za 2026

Kalkulatori

  • Hrvatska
  • Bosna i Hercegovina
  • Srbija

Korisno

  • Bruto u neto
  • Neto u bruto
  • Poreske stope
  • Minimalna plata
  • Olakšice za djecu
  • Blog

Pravno

  • Politika Privatnosti
  • Politika kolačića
  • Uvjeti korištenja
  • O nama
  • Kontakt

© 2026 Kalkulator.Place. Sva prava pridržana.

hr·bs·sr·en·it·fr·de

Kalkulator
Nazad
Blog