valutazione di sicurezza del software open source - autorità di terze parti

13

Un cliente chiede alla mia azienda di redigere standard interni che il software open source deve soddisfare prima di approvarlo per l'uso sulle nostre workstation. La nostra politica è sempre stata soggettiva e difficile da quantificare. Utilizziamo prodotti molto apprezzati e altamente affidabili come GPG, Ruby e 7-Zip, e diffidiamo di nuovi progetti non provati. Come parte di una politica più ampia che descrive anche questo test "altamente attendibile", mi piacerebbe essere in grado di puntare a una fonte di terze parti che fornisca una sorta di valutazione dei prodotti OSS. Mentre è abbastanza facile trovare fonti che ti dicono quando un prodotto è non considerato sicuro, sembra più difficile trovare un posto che ti dirà che lo è. Qualcuno sa di una fonte che ci darà qualche conferma (o confutazione) di terze parti alle nostre opinioni sul fatto che alcuni prodotti sembrano consolidati e affidabili?

Si noti che sono a conoscenza degli argomenti sulla sicurezza relativa di OSS rispetto ai prodotti closed source, ma non è pertinente qui; il cliente è più diffidente nei confronti dell'OSS e non c'è nulla che io possa fare al riguardo.

    
posta kcrumley 15.07.2011 - 02:40
fonte

3 risposte

11

Probabilmente non troverai troppe persone o gruppi che garantiranno la sicurezza dei prodotti OSS perché potrebbero metterli a rischio di essere legalmente responsabili. Mentre la reputazione è una parte di una misura, è difficile da quantificare e le persone amano i numeri difficili. Ecco alcuni fattori che potresti prendere in considerazione.

È stato rivisto indipendentemente?

Ok ecco i tuoi numeri. Coverity Scan è un elenco di progetti Open Source sottoposti a analisi statica del codice. Mostra il numero di difetti rilevati, la densità e fissa, e Ruby è su di esso. Guarda SourceForge per lo stato di sviluppo dei progetti. lo stato di sviluppo è auto-valutato, ma ti dà almeno un'idea di come il progetto si vede da solo.

Come è sviluppato? Ci sono persone con esperienza di sicurezza nel team? Fanno recensioni prima di un rilascio? Cosa succede quando i problemi di ricerca prima del rilascio: rilasciano con un avviso o mantengono il rilascio finché il difetto non viene corretto?

Quanto è buona la loro risposta ai problemi?

I più popolari progetti open source hanno un sistema di tracciamento dei bug, e alcuni hanno sistemi di sicurezza specifici. Controlla l'errore o il tracker di sicurezza e vedi quanto velocemente rispondono a bug o problemi di sicurezza.

Chi lo usa?

Se altre aziende come i tuoi clienti usano il software, stai assumendo un rischio uguale ai tuoi pari. Se le aziende che hanno requisiti di sicurezza rigorosi lo usano, allora danno credito alla sua reputazione (ma ovviamente non è una garanzia). Leggi Uso di software gratuito e open source (FOSS) nel Dipartimento della Difesa statunitense , tuttavia è un po 'datato (2003).

A cosa serve?

Se si può affermare che l'utilizzo è al di fuori di qualsiasi elemento critico per la sicurezza e sarà opportunamente isolato, non è necessario dimostrare la solidità della sicurezza. Ovviamente questo dovrebbe essere per uso solo internamente, non su un server o computer accessibile pubblicamente.

    
risposta data 15.07.2011 - 03:34
fonte
2

Ecco due modi per ottenere l'input del tipo che stai cercando.

  • Ubuntu Linux distingue tra i pacchetti che è disponibile per la spedizione nel repository principale, per che Canonical fornisce supporto ufficiale e il repository "universo", gestito da volontari. Il progetto controlla i pacchetti in modo simile ai passaggi descritti nella risposta da this.josh. I pacchetti che non sono in "main" sono etichettati (ad esempio con "[universo]") nelle loro voci su packages.ubuntu.com

  • È affidato ai tuoi fornitori (in modo che tu ne dipenda già in qualche modo) o dai tuoi pari? Questo può influenzare la quantità di rischio aggiuntivo che affronti facendo affidamento su di esso.

risposta data 18.07.2011 - 15:59
fonte
-1

Potresti voler rivedere il CC. Anche se sarà esaustivo e un po 'eccessivo per la garanzia interna dei prodotti, tuttavia, si può considerare solo la porzione che si adatta alle esigenze della propria organizzazione. CC descrive come i Prodotti possono essere valutati da laboratori autorizzati e indipendenti in modo tale da determinare l'adempimento di particolari proprietà di sicurezza, in una certa misura o garanzia link http://www.commoncriteriaportal.org/supporting/

    
risposta data 18.07.2011 - 07:59
fonte

Leggi altre domande sui tag