6つのオープンソースセキュリティの神話が却下されました。

オープンソースソフトウェアの批判者は、潜在的なセキュリティリスクとして、幅広い開発者ベースとオープンソースコードを指摘することがよくあります。しかし、それは公正な評価ではない、ITセキュリティに関する英国政府に助言する英国のGCHQ情報機関の部門であるCESGのテクニカルディレクター、イアン・レヴィ博士によると、

先週のロンドンで開かれたオープンソースオープンスタンダード会議で、オープンソースのセキュリティについての神話を暴言し、その本物のセキュリティ上の課題を詳述したレビー氏によると、オープンソースはセキュリティ上、独占的なソフトウェアよりも悪くない。

オープンソースのソフトウェアは、独自のものよりも安全性が高く、「これは多くの仕事をしてきたが、客観的な証拠はない」平均して、良いオープンソースは良い財産と同程度であり、悪い独占的な悪い、 “レビー言った。

レビ氏によれば、ソフトウェアの安全性が問われているかどうかは、あまりにも広範囲にわたる。より価値のあるアプローチは、組織がソフトウェアから望むセキュリティを尋ね、ソフトウェアがそれを提供するかどうかを尋ねることです。

オープンソースやマイクロソフトのソフトウェアを使用する方が安いですか?ソフトウェア大手とミュンヘン市は、非常に異なる答えを思いついた。

レビ氏によれば、オープンソースコードは誰でも見ることができるため、セキュリティはより大きく、より価値の高い監視を受けているというアイデアは、セキュリティで保護されたコードを作ることになります。

Linuxカーネルコードをダウンロードしたすべての人の中で、彼は次のように質問した。「誰が、Linuxカーネルのセキュリティを判断する能力があると思いますか? 2100万行のLinuxコードをダウンロードし、「コードがあり、それを見てきた」と言って、安全だと自分自身に確信させることができますが、しばしばナンセンスです。

多くの目はあなたに多くのまつげを与えますが、他にはたくさんありません。

悪意ある人はソースコードを見ることができるので、安全性は低くなります」と言われましたが、やはりナンセンスです。ソフトウェアを壊す方法を見れば、ソースコードを使用しません。バグを見つけた人はソースを持っていない、IDA Proを持っています。そこにあり、オープンソースのクローズドソースバイナリで動作します。

誰もがコードに貢献できるので、それはすべて悪いことです。このアサーションのいくつかの要素は、オープンソースプロジェクトの多くでは当てはまりませんが、「オープンソースプロジェクトではそうではありません。このリスクを相殺するために、オープンソースプロジェクトとその歴史について学び、判決を下すことができます。

オープンソースソフトウェアとは、組織がオープンソースであるという意味で、オープンソースであるという意味では制限がないわけではありません。ライセンスに含まれる可能性があります – GPLはあなたに制限を設け、BSDは制限を少なくします。彼らはあなたにまったく関連しないかもしれませんが、制限があります。

たとえライセンスが問題ではないとしても、組織はIPの権利争いを別のものにすることができます。

Levyは、分散コンピューティングとストレージソフトウェアの例として、Hadoop(オープンソースプロジェクトと呼ばれる)を挙げました。

これは特許を受けたアルゴリズムです。実装を忘れてください。実装はIPフリーであるかもしれませんが、アルゴリズムは特許を取得しています – あなたはそれを使用できると思いますか?

すべてのソフトウェアを評価する必要があります;「それは狂っているでしょうが、まだ私たちはそれを聞いています政府のまわりでは、購入する前にすべてのソフトウェアを評価しなければなりません。

ソフトウェア配布多くのオープンソースプロジェクトで使用されているオンライン配布方法は、本物のソフトウェアバイナリが悪質なコードを含む偽のものに置き換えられるのに対して脆弱です。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

SHA-1ハッシュとPGPキーは同じサーバー上にあるため、オンライン配布の保証を得る方法はありません。配布サーバーに対する攻撃として知られています。誰もソースコードに触れたことはありませんが、バイナリ、MD5、SHA-1、PGPコードに触れています。

あなたはそれをダウンロードしてハッシュをチェックしましたが、バイナリを入手した同じ場所からハッシュを取得しました。私の信頼ルートはどこですか?

パッチを当てる;オープンソースソフトウェアのパッチを受け取ることについては、コードの出所と同じ質問をすることができます。

私がWindows Updateに行った場合、署名されていることが分かり、Microsoft内部で動作するプロセスがあります。 Red Hatについて私は何を知っていますか?多く、それはほぼ同等です。

神話

「Ian’s Honest HTTP Server」ソフトウェアについて何を知っていますか?あなたは賢明に制御されたそれらのパッチを自分自身に保証するために仕事をしなければならないでしょう。

可視性を利用する:オープンソースパッチはソースを出さなければならない。彼らは根本的な問題を本質的に明らかにする。ですから、製品にセキュリティ上の脆弱性があり、バイナリパッチを出してしまえば、それをリバースエンジニアリングして根底にあるものを解決する作業のチャンクです。オープンソースの場合は、ソースパッチを出しているので、攻撃者に問題の内容を正確に伝えています。

それはあなたに合理的なパッチを当てる体制があれば、必ずしも悪いことではありません。悪用する時間がおそらく短くなるため、実際には賢明なパッチ適用の仕組みが必要です。

オープンソースプロジェクトには、コード内のバグを積極的に追跡する個人やグループもあり、パッチが当てられていないバグが潜在的に見えやすくなります。

「誰もが他の問題であるならば、パッチがないのでゼロデイ攻撃を受けるので、彼は言った。

コードサプライチェーンの監査;「誰が自分のコードを書いたのか、どのように彼がインポートしたのか、どのように他のものが入っているのかを知るにはどうすればよいですか? Levyは言った。

例えば、輸入されたソフトウェアモジュールに関しては、企業は商用企業にライセンスコンプライアンスのためにこのインポートされたコードをチェックし、報告されたバグを処理する弁護士のチームが存在することを期待することができます。

フリーソフトウェアと同じ種類の保証を得るにはどうすればよいですか?それの合法性について私は何を言いますか?誰かがこれらのインポートされたモジュールのライセンスを見て、そのモジュールにデューデリジェンスを行っていることをどのように知っていますか?

課題

私はあなたがそれをすることができないと言っているわけではない、私はあなたはそれをどうやってやっているのだろうか?それは異なる一連の課題です。

チームの崩壊;「オープンソース製品は、商用製品に比べて、人格の変化がはるかに大きな影響を及ぼす可能性があります。商用製品はブランド価値があり、オープンソース製品は多くの人々によって駆動されます。彼らはすべて広範に整列していますが、方向性を大幅に変えたオープンソースプロジェクトにはスパットがあります。

Red Hatは、OpenStackクラウドプラットフォームのコミュニティ主導バージョンを発表し、オープンソースクラウドの採用を加速しました。

開発者の関係:ソフトウェアのセキュリティを評価できることは、開発者を知っていることと、ソフトウェアの将来の計画についていくつかの洞察を得ていることに大きく依存している、とLevy氏は述べています。

「セキュリティ評価は開発者関係に関するものであり、ソースコードに関するものではない」と同氏は述べた。

評価が、脆弱性を探しているソースコードのすべての行を巡ってクロールしていると思う人は、間違っています。私たちが話しているレベルでの評価は、開発者が彼らが何をやっているのかを知っているのですか?彼らはこのことを安全に保つための長期的計画を持っていますか?彼らはインシデント管理計画を持っていますか?

コードから製品設計アーキテクチャを抽出することは非常に困難です。開発者と関係を持っていない場合は、「これはなぜこのように設計したのですか?評価は本当に難しく、しばしば第三者がこの役割を果たす必要があります。管理するビジネスリスクです。

開発者のアイデンティティは一般的に弱い;商用企業は開発者のアイデンティティのために複数のレイヤーを持つことができるのに対し、オンボードのプロセス、アイデンティティプロセス、ソースコードをチェックインするための技術的アイデンティティプロセス、オープンソースプロジェクト。

これらのプロジェクトの一部については、Gmailアドレスです。誰が誰かのGmailアカウントのセキュリティを賭けて農場を賭けたいのですか?これらのすべての周りの方法がありますが、これらはあなたが考える必要があるものです。

開発標準と共通のセキュリティインフラストラクチャーの欠如「私は会社を監査し、「あなたはこれらの基準を満たし、それを適用することができます。はい、あなたはインシデントを管理しますが、あなたはそれをうまく管理します」。自分のハードウェアですか?

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン