Esta pregunta está relacionada con el largo debate sobre la seguridad a través de la oscuridad:
Seguridad a través de la oscuridad
El problema a resolver es: ¿Las ventajas de publicar el código fuente son mayores que las desventajas?
- ¿Puede un virus esconderse de un antivirus? Si puede, ¿permanecerá activo después de eliminar el software con el que vino?
- ¿Cómo funciona un RAT (troyano de acceso remoto)?
- ¿Cómo se procesa a los ciberdelincuentes?
- Cómo omitir la verificación en dos pasos en una cuenta de Google que ha sido pirateada
- ¿Cuáles son los mejores sitios para recibir notificaciones de vulnerabilidad de seguridad?
Como mencionó, las desventajas son bastante claras: todos los defectos en su código están expuestos para que todos los vean. No te sientas mal, todo el código tiene fallas.
Sin embargo, tenga en cuenta que un atacante realmente no necesita su código fuente para atacar con éxito su sitio. De hecho, los kits de explotación (Kali, Metasploit) se han vuelto tan maduros que en realidad es más fácil escanear su sitio en busca de vulnerabilidades que leer su código.
Por lo tanto, si sus datos son valiosos, debe implementar medidas de seguridad sin código de todos modos. Como mínimo, averigüe qué opciones ofrece su proveedor de alojamiento y considere mudarse (por ejemplo, a AWS) si no son adecuadas.
También debe considerar la implementación de medidas de seguridad de código simples como cifrar campos de identificación personal en la base de datos.
Ahora publicar su código también tiene ventajas:
- Si el código es útil y tiene una licencia OSS adecuada, crea un incentivo para que las personas buenas lo recojan.
- Los amistosos actuarán como revisores pares y existe la posibilidad de que mejoren. Por pequeña que sea la posibilidad, es mejor que cero, que es su fuente predeterminada predeterminada. Desde ese punto de vista, no puedes estar peor.
- Una proporción de hackers lo verá como los buenos y le informará sobre sus vulnerabilidades en lugar de explotarlos simplemente porque se unió a la familia de software libre.
En última instancia, su elección depende de sus detalles. Evalúe su proyecto: ¿es útil para la comunidad? Por otro lado, ¿qué es lo peor que un hacker podría hacer con los datos? Luego encuentre el curso de acción que se siente bien.