se ho uno sviluppatore che vuole installare un nuovo software e mi chiede di controllare questa sicurezza del software prima di installarlo, cosa devo fare
Potresti porre una delle tante domande qui.
Se stai chiedendo "Come faccio a sapere che il software che ho qui è cosa ha fatto il venditore - potrebbe essere stato alterato prima di averlo capito? " allora vorrete confrontare l'hash di ciò che avete a ciò che il il venditore ha pubblicato, supponendo che lo abbiano. (Quasi tutti lo fanno al giorno d'oggi).
Se stai chiedendo "Come posso sapere se il venditore ha inserito malware o back door in questo software? "quindi la cosa fondamentale da considerare è come molto ti fidi del venditore. (Anche se non è una garanzia le aziende hanno accidentalmente ottenuto un virus sui loro padroni d'oro prima d'ora, e più sei grande, più è probabile che sia un governo appoggiarti a te per mettere una porta sul retro.) Naturalmente lo hai scansionato con un paio di scanner AV, come fai con qualsiasi cosa tu abbia messo la tua rete. Parla con gli altri utenti e verifica se hanno problemi. Se è open source, puoi leggere la fonte prima della compilazione, anche se questa è un'enorme quantità di lavoro. Infine, puoi eseguirlo in una sandbox per un po ', monitorando ciò che fa, specialmente la sua rete attività per vedere se telefona a casa.
Se stai chiedendo "Come posso sapere se ha errori di programmazione che lo rende vulnerabile agli attacchi? "poi di nuovo ce ne sono vari approcci. Come prima, considera la reputazione del venditore; parlare con altri utenti; e se è aperto fonte e hai le risorse, rivedi la fonte. Controlla che sia sistema di tracciamento dei bug se è pubblico, ed è una versione storica note, per vedere come vengono affrontati i problemi di sicurezza. Pensa a cosa fa e quali minacce stai affrontando e identifica altra sicurezza controlli puoi metterlo intorno.
(Mi è piaciuto l'approccio di Graham Hill per rispondere):
Un'altra domanda / risposta a cui potresti pensare:
Leggi altre domande sui tag threats