Esiste un modo per verificare che un'organizzazione che gestisce un SaaS open source stia utilizzando una versione del software non controllata?

2

Alcune organizzazioni hanno iniziato a offrire l'accesso a server che eseguono software open source (server di posta, server di chat), gestiti e gestiti da tali organizzazioni, per una tariffa di mantenimento ricorrente nominale.

Normalmente, il codice sorgente di questo software è disponibile su Github, o Bitbucket, o in qualche formato facilmente accessibile per le persone che sanno come configurarlo e non si preoccupano del fastidio di auto-hosting.

Ma c'è un modo per verificare che il codice che viene eseguito su questi server remoti sia quello che viene tenuto nel sistema di controllo della versione, preferibilmente in un modo sicuro?

In base alla mia esperienza, i server di protezione dagli attacchi, avendo una configurazione di hosting sicura contro gli aggressori, di solito è sinonimo di avere un host black box, con solo un'API web esposta.

    
posta Jules 08.07.2016 - 19:21
fonte

1 risposta

2

Risposta breve - quasi assolutamente da non dire. La domanda è equivalente al sondaggio scatola nera. Puoi inserire determinati input nella casella e ottenere determinati risultati: cosa fa esattamente la scatola tra input e output? Non posso dirlo Quali altri processi o dispositivi hanno accesso agli stessi dispositivi di archiviazione? Non posso dirlo

Il "quasi" è perché potrebbero esserci attacchi di banda laterale che consentono di determinare alcuni aspetti della piattaforma. Ad esempio, gli attacchi di banda laterale in JavaScript consentono al codice del browser sandboxed di determinare attività al di fuori del browser (attacco recente), e forse il codice accuratamente elaborato rivelerà se la piattaforma risponde alla velocità e coerenza e tempismo che dovrebbe. Ma è improbabile che funzioni bene, non ultimo perché il server può essere virtualizzato e i tempi possono variare troppo rapidamente per un tale approccio per questo motivo, anche perché troppe modifiche al codice e configurazioni hardware hanno il potenziale per non creare rilevabile dall'utente / rilevabile da remoto variazioni a qualsiasi indicatore misurabile.

    
risposta data 09.07.2016 - 09:34
fonte

Leggi altre domande sui tag