爱荷华州核心应用程序惨败表明需要开源透明性

 
爱荷华州的预言家陷入混乱，因为报告浮出水面，用一个不透明的应用程序来制表结果，并向民主党官员报告，该报告仅报告了所需数据的一部分。尽管开发了该应用程序是为了提高最终核心会议记录的沟通效率，但最终导致了严重的延迟。据安全专家称，该事件突出了依赖数字系统和信息集中化的风险，以及这些系统缺乏透明度。
爱荷华州民主党主席特洛伊·普莱斯(Troy Price)周二上午发表声明，为核心小组辩护，称所记录的基本数据准确无误，而且由于纸质记录，该党官员得以再次核对数据。
报告问题“归因于报告系统中的编码问题。已确定并解决此问题。该应用程序的报告问题并未影响专区主席准确报告数据的能力。”
软件安全公司Veramatrix于2019年发布的一份报告称，每1000行代码中出现15至50个错误是可以接受的。平均每个应用包含50,000行代码，这将转化为行业公认的平均2500个错误。
“错误率或错误密度因应用程序而异。这取决于应用程序开发人员所接受的安全培训，代码测试和审查的质量。” Veramatrix首席运营官Asaf Ashkenazi说。 “例如，根据报告，在爱荷华州民主党案中，似乎测试过程不够充分。”
虽然对于Candy Crush这样的风险可能是可以接受的，但是当应用程序处理主要选举数据时却是另一回事。由于在预备会议之前很少公开有关该应用程序的信息，这使这些风险更加复杂。爱荷华州民主党拒绝透露该应用程序的名称，但它是由民主技术公司Shadow开发的。该公司在一份声明中说：“通过Shadow的移动核心小组应用程序进行的基础数据和收集过程是准确无误的，但我们将通过该应用程序生成的核心小组结果数据传输给IDP的过程却没有。”
通过使用该应用程序，当事方向核心小组介绍了另一个故障点，以防止其发生故障。它做到了。
当某些事情像选举一样重要时，这在很大程度上是不正当的，允许使用专有软件。
促进和保护开源软件的开源计划的董事会成员约书亚·西蒙斯(Joshua Simmons)认为，这样的软件必须是透明的。
西蒙斯说：“坦白讲，当选举像重要的事情发生时，允许专有软件是不当行为。” “开放源代码许可的软件可确保安全研究人员可以在使用该软件之前对其进行审查和改进。”
西蒙斯说，对机构和他们采用的系统的信任对于任何运转中的民主都是至关重要的，并且在过去的几年中，他越来越怀疑和愤世嫉俗。
他说：“开源是建立透明度，建立信任和建立更具弹性的系统的重要一步，”
爱荷华州民主党拒绝透露该应用程序的开发者名称，以阻止外部对抗性第三方(例如俄罗斯)的干扰。
“根据新闻报道，该应用似乎没有经过正确的测试，这令人震惊，” Ashkenazi说。 “我相信任何应用程序所有者都应该提供信息，说明正在使用哪些进程来测试其应用程序以及使用了哪些技术来保护应用程序免受黑客的攻击。这种做法可以提供更多的信心。”
这种缺乏透明度的结果不仅导致破坏对应用程序信任的技术错误，而且还为误导信息和阴谋论打开了大门。