Come procedete nel controllare le vostre librerie open source per i logger di tasti?

Recentemente ho avuto l'opportunità di eseguire un'analisi della sicurezza del software su FileZilla, eMule e Shareaza. Ho eseguito il codice tramite cppcheck, RATS e ITS4. Nessuno strumento sarà in grado di discernere se un pezzo di codice è benigno o dannoso. Richiede l'ispezione visiva - che è quello che ho fatto. Ho passato due settimane esaminando riga per riga ogni parte del codice sorgente. Probabilmente mi sono perso qualcosa. Ecco perché il mio lavoro è stato supportato da un'altra persona che ha trovato lo stesso o più di me. Ad esempio, FileZilla utilizza uno script PHP per determinare il tuo indirizzo IP esterno quando si è in modalità PASV. Cosa fa quello script PHP? Chi lo sa davvero? Vedo il tuo punto e punto ben preso. A seconda della vostra strategia, dovreste adottare una strategia di mitigazione del rischio ed esaminare la fonte da soli o assumere consulenti esterni. In questo modo assicurerai che il software sia sicuro. Tuttavia, anche se i keylogger sono potenzialmente installati, è comunque necessario esercitarsi in "difesa approfondita" tramite firewall, antivirus, ACL e così via.

Questo rientra nella categoria "Fidatevi di esso, la sua fonte aperta". Se un numero sufficiente di persone guarda al codice di un progetto, è improbabile che qualcuno possa far passare qualcosa di nefasto. Inoltre, guarda la reputazione del partito che sta sostenendo il progetto. È J. Random Coder o Apache Software Foundation? Ovviamente più piccolo è il codebase più difficile è inserire tutto. E il progetto open source dipende da qualsiasi libreria esterna che non sia open source? Se un progetto è un ramo personalizzato di un oscuro progetto ospitato su un sito Web sconosciuto ... beh.

Inoltre, non mi preoccuperei specificamente dei keylogger, ma più sicurezza in generale. Ciò include le violazioni accidentali della sicurezza, che sono molto più probabili che si verifichino in un piccolo progetto. Le backdoor, la privacy mal implementata e l'accesso necessario al sistema sono tutti rischi più probabili di un keylogger intenzionale.

Gli sviluppatori possono impedire ai commettitori non autorizzati di accedere ai loro progetti open source non concedendo a tutti e ai loro pinguini i privilegi di commit. Il principio distintivo di Free Software / Open Source non è che lo sviluppo sia di massa (anche se può essere) ma che è possibile sborsare progetti.

Le persone che scaricano software devono eseguire un po 'di attenzione, e questo è altrettanto vero per F / OSS come per il software proprietario / closed source. Il software che si ottiene da una fonte attendibile è generalmente buono (in entrambi i casi); è più probabile che il software di una trasmissione notturna abbia malware.

Non è come se qualcuno avesse impegnato l'accesso a qualsiasi progetto open source. E anche se qualcuno commette un codice malevolo, può essere scoperto poiché la fonte è pubblica. Se non ti fidi dei gestori del progetto, puoi sempre assumere qualcuno come 0A0D per ispezionare il codice per te. Non è perfetto, ma è migliore dell'alternativa;

Per un progetto a codice chiuso, devi solo fidarti del fornitore. Come fai a sapere che non ci sono backdoor nel software closed-source? Non lo fai. Un codice malevolo può essere stato aggiunto da un dipendente scontento, qualcuno alla ricerca di un modo per guadagnare denaro, un malvagio bidello che ha accesso al repository della società ... Nel software closed-source, non c'è modo di saperlo.