Четверг, 28 мая, 05:01
дома инет Проблемы с открытым исходным кодом

Проблемы с открытым исходным кодом

Так же, как и проприетарное программное обеспечение, Open Source имеет множество плюсов и минусов. Критики программного обеспечения с открытым исходным кодом часто сообщают, что его широкая база разработки и открытый исходный код опасны для безопасности. Но эта оценка не справедлива, по словам д-ра Яна Леви, технического директора CESG, входящего в состав GCHQ Соединенного Королевства, который консультирует правительство Великобритании по вопросам информационной безопасности.

По словам Леви, открытый исходный код не хуже и не лучше, чем проприетарное программное обеспечение, когда речь заходит о безопасности. Он отверг некоторые мифы о безопасности с открытым исходным кодом и подробно рассказал о реальных проблемах безопасности в Open Source, открытых стандартах. который был проведен ранее в Лондоне.Open Source

Вчера мы упоминали мифы об Open Source.

Сегодня мы поговорим о проблемах:Dr-Ian-Levy с открытым исходным кодом

Распространение программного обеспечения

Методы онлайн-распространения, используемые во многих проектах с открытым исходным кодом, уязвимы, поскольку подлинные исполняемые файлы заменяются контрафактными продуктами, содержащими вредоносный код, сказал д-р Ян Леви на той же конференции.

«Как я получу подтверждение для онлайн-рассылки, потому что хэш SHA-1 и ключ PGP находятся на одном сервере, а сам дистрибутив не делает этого для меня. Атаки на серверы распространения уже произошли. Никто не трогал исходный код, но касался двоичного кода, MD5, SHA-1 и PGP-кода.

"Вы загрузили проверку хеша, но у вас есть хеш из того же двоичного файла, который вы получили. Где доверие?

Ямочный ремонт или ремонт

Тот же вопрос, который относится к источнику кода, относится и к обновлениям программного обеспечения с открытым исходным кодом.

«Если я использую Центр обновления Windows, я знаю, что он подписан процессом, который работает в Microsoft. Что я могу знать об обновлениях Mint?

«Что я могу знать о программном обеспечении, поступающем с« безопасного »HTTP-сервера?»

Эксплойт видимость или видимые эксплойты

"Для патчей с открытым исходным кодом вы должны выпустить исходный код. Таким образом, злонамеренные пользователи могут по сути выявить основную проблему. Бинарный патч, выпущенный для исправления уязвимости в продукте, можно использовать для его отмены и запуска. В открытом исходном коде доступен исходный код патча, который показывает злоумышленнику, в чем именно заключается проблема.

«Это не обязательно плохо, с логикой постоянного ремонта. Непрерывный ремонт сокращает время эксплуатации. "

Таким образом, в проектах с открытым исходным кодом есть отдельные лица и группы, которые отслеживают активные ошибки в коде, что делает эти потенциально исправленные ошибки еще более заметными.

«Так как они открыты для всех, вы можете использовать эксплойты нулевого дня, потому что патча нет».Open Source

Контроль цепочки поставок кода

«Как я могу узнать, кто написал код, который я использую, как я могу узнать, что она написала, и как мне узнать, что еще там есть?», - сказал Леви.

Коммерческие программные модули могут быть проверены группой юристов, чтобы определить, соответствуют ли они лицензии.

«Как я могу получить такой же авторитет, как свободное программное обеспечение? Что я могу сказать о его законности? Как я узнаю, что кто-то проверял лицензии на эти программные модули?

«Я не говорю, что вы не можете сделать это, я говорю вам, как это сделать? Это другой набор задач ".

Разбивая группу

«Изменение личности может оказать гораздо большее влияние на продукт с открытым исходным кодом, чем на коммерческий продукт. Коммерческий продукт имеет ценность бренда, а продукт с открытым исходным кодом управляется группой людей. Я хотел бы надеяться, что все они в некотором отношении выровнены, но в проектах с открытым исходным кодом были гетто, которые радикально меняли направление. "

Отношения разработчиков

По словам Леви, способность оценивать безопасность программного обеспечения в значительной степени зависит от того, насколько хорошо вы знаете разработчиков и есть ли у вас какие-либо данные об их будущих планах.

«Оценка безопасности важнее для разработчиков, чем для исходного кода», - сказал он.

«Любой, кто считает, что оценка безопасности требует проверки каждой строки кода на наличие уязвимостей, совершенно неправ. Развитие на том уровне, о котором мы говорим, - это знание того, что разработчик делает с другими, наличие долгосрочного плана обеспечения безопасности и наличие плана управления инцидентами.

«Проектирование архитектуры продукта из кода невероятно сложно. Если вы не имеете ничего общего с разработчиком, спросите себя: почему вы планируете это? «Продолжение разработки действительно сложно и часто требует третьих лиц».

Идентификационные данные разработчика, как правило, отсутствуют

«Для некоторых проектов личность разработчика является адресом Gmail. Кто хочет поставить свою безопасность на чей-то аккаунт Gmail? Есть и другие способы аутентификации разработчиков, но об этом стоит подумать ».

Отсутствие развития стандартизированных и общих инфраструктур безопасности

«Могу ли я проверить компанию и сказать:« У вас есть эти шаблоны, и вы применяете их, и у вас есть инциденты, но хорошо ли вы управляете ими? »

Как мы можем сделать это для другого набора разработчиков на их собственном оборудовании?

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

LIVE NEWS

Linux Kodachi: версия v7.0 была выпущена со многими новыми приложениями

Недавно была выпущена новая версия Linux Kodachi. Хотя эта функция не очень известна ...

Безопасность в облаке: усилить атаки на онлайн-сервисы

В последние месяцы атаки киберпространства, нацеленные на облачные сервисы, значительно усилились, поскольку киберпреступники пытаются ...

Ransomware: выкуп, требуемый хакерами, увеличился в 14 раз

Ransomware стал одной из самых коварных угроз за последние два года, когда хакеры усиливают свою деятельность ...

Новая поправка для онлайн-наблюдения за американцами!

После трех дней переговоров члены парламента достигли соглашения о защите частной жизни американских граждан. Поправка ...

Дональд Трамп против Твиттера или Твиттер против Дональда Трампа?

Во вторник Twitter указал на два твита Дональда Трампа, в которых утверждалось, что голосование по почте может ...

Приложение Aarogya Setu Индии с открытым исходным кодом

Индия недавно объявила, что выпустит исходный код приложения для мониторинга короны, известного как ...

Samsung разрабатывает новый чип безопасности для смартфонов

Как было объявлено во вторник, Samsung выпустила новую микросхему защищенного элемента (SE) для более эффективной защиты ...

Красный Крест: «Давайте прекратим кибератаки в больницах»

Красный Крест и другие организации призывают правительства создать альянс, чтобы остановить кибератаки в больницах.

LiveJournal: миллионы пользовательских учетных данных продаются в темной сети

Учетные данные и данные от 26 миллионов пользователей LiveJournal продаются в Интернете и в темной сети.

Линус Торвальдс обновил свой компьютер до процессора AMD

Когда-то для многих пользователей процессоры AMD уступали процессорам Intel. С...