Heartbleed Bug (och det är definitivt en bugg - inte ett virus) har antändt en debatt om säkerheten och tillförlitligheten hos öppen källkodsprogramvara de senaste månaderna.

Upptäckt av forskare på Google och Codenomicon, upptäcktes sårbarheten i OpenSSLs kryptografiska programbibliotek som tillhandahåller Secure Sockets Layer (SSL) och Transport Layer Security (TSL) -skydd för allt från e-post och webbsökning till internetbank.

Programmeringsfel som ledde till Heartbleed - som oavsiktligt introducerades av den tyske programmeraren Dr. Robin Seggelmann, en frekvent bidragare till OpenSSL-koden - gör det möjligt för angripare att ladda ner 64k bitar av data lagrade i det förmodligen säkra huvudminnet för servrar.

Det var ett ärligt misstag, men en med långtgående konsekvenser. Enligt Errata Security är cirka 320 000 av 600 000 upptäckta sårbara servrar fortfarande sårbara för Heartbleed.

Post-Heartbleed, varje privat nyckel på servrar som kör OpenSSL är nu misstänkt och kan potentiellt användas av angripare för att efterlikna säkra webbplatser så länge som dessa servrar förblir oförändrade.

Är det dags att byta från OpenSSL till en kommersiell lösning (eller ett annat alternativ) när det gäller webbsäkerhet? Vi pratade med branschexperter på Infosec 2014 för att ta reda på mer.

Håll öppen källkod - det har fortfarande mycket att erbjuda ...

James Sherlow, SE Manager WEUR på Palo Alto Networks, anser att ditching OpenSSL i kölvattnet av Heartbleed skulle vara något av en knä-jerk reaktion:

"OpenSSL är fortfarande mycket relevant och har skalbarhet. Det har en grupp av högkvalificerade utvecklare, vilket är extremt värdefullt och fortfarande giltigt. Varje programvara vid en viss tidpunkt kommer att ha någon sårbarhet i samband med den, men det gör det inte menar att vi slår av det, det betyder att vi lär oss av våra lektioner. "

... men Heartbleed var ett väckarklocka

"Jag tycker att open source-samhället måste börja sätta mekanismer på olika områden som kan korsa andra. Det är bättre än finger pekar och skyllar som inte får någon någonstans. Det skulle mildra risken, minska risken för angrepp och höja baren. För att komma till noll är det svårt, men låt oss sikta på det. Det är baren. "

Du kunde inte bara skära det ändå ...

Frågan om vi ska bli av med OpenSSL är inte så svartvitt, enligt JD Sherry, VP för teknik och lösningar för Trend Micro. Han tror att i stället för att sätta ned tjänsterna hos dedikerade och begåvade bidragsgivare med öppen källkod bör belöningar erbjudas andra som söker fel i sitt arbete:

"Open source kommer alltid att vara en medfödd del av det vi gör, främst för att det finns mycket bra teknik involverad i det - många människor häller sin passion i dessa projekt och mycket bra arbete kommer ut ur dem."

... så låt oss introducera fler Bug Bounties

"Företag som Google, Microsoft och Facebook har samlats för att dumpa 100 000 dollar varje för att komma till hjärtat av Heartbleed, vilket inte räcker för att stoppa ett potentiellt liknande scenario. Bug bounties å andra sidan ska självreglera på bugproblemet, och de kan vara extremt viktiga.

"Kostnaden för att implementera och betala ut för dem kan vara väl värt resultatet som kommer med en stor fel i din programvara som missades under kvalitetsstyrningsprocessen. Oavsett om det är öppen källkod eller inte, kommer de att vara kritiska för att se till vi har inte en enorm mängd Heartbleed eller andra OpenSSL-fall. "

OpenSSL bröts från början ...

Inte alla har varit så förlåtande när det gäller OpenSSL. FreeBSD och säkerhetsutvecklare Poul-Henning Kamp krävde sitt huvud i ett blogginlägg med titeln Öppna SSL måste dö, för det blir aldrig bättre:

"Och det tar mig tillbaka till OpenSSL - vilket suger. Koden är en röra, dokumentationen är vilseledande, och standardinställningarna är bedrägliga. Dessutom är det 300 000 streckkod som drabbas av nästan alla mjukvarukonstruktioner du kan tänka dig."