OpenVPN vs. fonte chiusa

1

Stiamo ottenendo il respingimento da una terza parte (una società molto più grande) rispetto alla nostra decisione di utilizzare OpenVPN per proteggere le nostre risorse AWS. Nello specifico, affermano che la fonte chiusa è in generale più sicura rispetto all'open source, un'affermazione che è efficacemente indirizzata qui . Il consenso qui e altrove sembra essere che non c'è alcun vantaggio in nessuna scelta in generale.

Tuttavia, stiamo guardando ad un software specifico qui, OpenVPN. Esistono motivi specifici per cui OpenVPN sarà considerato meno sicuro rispetto alle alternative di servizi VPN commerciali?

    
posta rambler 31.05.2017 - 18:15
fonte

3 risposte

4

OpenVPN è un'applicazione vpn open source ben utilizzata e affidabile come sai. Alla fine della giornata se la tua terza parte non vuole usarla e non hai il potere contrattuale di decidere l'uso di OpenVPN, non vedo cosa le persone qui possono fare per aiutarti. Ti colleghi anche a recenti verifiche.

    
risposta data 31.05.2017 - 20:08
fonte
2

Mentre indovino solo qui, penso che l'obiezione tipica alle soluzioni del sistema operativo potrebbe essere fatta risalire a vari requisiti di controllo che costringono l'organizzazione a utilizzare solo le soluzioni mantenute. Con la closed source è semplice la richiesta di checkbox - guarda un contratto di servizio o una licenza. Con il sistema operativo devi fornire la prova che il progetto è aggiornato e le vulnerabilità sono indirizzate.

Suggerisco di offrire prove (ricerca CVE, cronologia patch, rapporti indipendenti che hai collegato) e di chiedere quali obiezioni specifiche hanno a OpenVPN.

    
risposta data 31.05.2017 - 21:28
fonte
0

C'è una risposta piuttosto semplice a questo, la sicurezza non dovrebbe fare affidamento sul fatto che il codice sorgente è chiuso. Se si tratta di un software VPN valido e sicuro, dovrebbe resistere a una revisione del codice sorgente. Questo è anche uno dei motivi per cui preferisco OpenVPN rispetto ad altre soluzioni VPN closed source, con OpenVPN ci saranno molte migliaia di persone che esaminano il codice sorgente alla ricerca di errori e vulnerabilità. Quando qualcuno trova un errore nel codice, viene segnalato e corretto.

Ci sarà anche la possibilità per l'utente finale di scaricare il codice sorgente OpenVPN dalla pagina Web di OpenVPN, verificare il download verificando che la firma corrisponda e si compili da sola. In questo modo, la community di OpenVPN può garantire che non vi siano modifiche dannose nel software.

Detto questo, la sicurezza dipende ancora dalla configurazione del software OpenVPN, uso di algoritmi sicuri, buona gestione dei certificati, ecc ... I governi olandesi hanno modificato OpenVPN in modo che soddisfi i requisiti per il trasporto dei dati classificati. Hanno anche rilasciato la sorgente modificata con il nome OpenVPN-NL.

    
risposta data 31.05.2017 - 23:35
fonte

Leggi altre domande sui tag