Per la crittografia, è buona norma rilasciare il codice in modo che altri possano controllarlo ... è vero anche per il software di test di penetrazione?
Per la crittografia, è buona norma rilasciare il codice in modo che altri possano controllarlo ... è vero anche per il software di test di penetrazione?
Legge di Linus (più persone hanno accesso al codice sorgente, più persone troveranno e segnalano bug) si applica solo quando le persone hanno un incentivo a correggere gli errori. Questo incentivo di solito esiste solo quando usano il software. Quindi, quando il tuo software è altamente ottimizzato per te e non ti aspetti che si formerà una comunità più ampia, non otterrai molte segnalazioni di bug e patch.
Inoltre, anche quando il tuo software viene ampiamente utilizzato, non è garantito che le persone lo controllino correttamente per te. Un buon esempio è il bug heartbleed , che era una tipica vulnerabilità di sicurezza in un pezzo molto aperto molto ampiamente usato software sorgente.
Quando si tratta di software per il test delle penne, c'è anche una componente etica da considerare. Il tuo software è davvero utile solo per la penetrazione testing o può essere abusato per cracking? Potresti non voler dare agli script manichini gli strumenti per causare danni e mettersi nei problemi legali.
Dipende da quale software è, immagino che tu abbia molta più attenzione per l'open source AV / firewall o qualsiasi cosa che ascolti su un socket con un account privilegiato. Tuttavia qualcosa come un'applicazione CLI per generare shellcode probabilmente riceverà solo risposte di tipo QA.
Leggi altre domande sui tag software penetration-test opensource