¿Hay alguna forma de verificar que una organización que opera un SaaS de código abierto está utilizando una versión del software sin restricciones?

2

Algunas organizaciones han comenzado a ofrecer acceso a los servidores que ejecutan software de código abierto (servidores de correo, servidores de chat), operados y mantenidos por esas organizaciones, por una tarifa nominal de mantenimiento recurrente.

Normalmente, el código fuente de este software está disponible en Github o Bitbucket, o en algún formato de fácil acceso para las personas que saben cómo configurarlo y no les importa la molestia de auto-hospedarse.

Pero, ¿hay alguna forma de verificar que el código que se ejecuta en estos servidores remotos es lo que se mantiene en el sistema de control de versiones, preferiblemente de una forma sin confianza?

En mi experiencia al reforzar servidores contra ataques, tener una configuración de alojamiento segura contra atacantes suele ser sinónimo de tener un host de caja negra, con solo una API web expuesta.

    
pregunta Jules 08.07.2016 - 19:21
fuente

1 respuesta

2

Respuesta corta - casi no hay manera de decirlo. La pregunta es equivalente al sondeo de caja negra. Puede poner ciertas entradas en el cuadro y obtener ciertos resultados: ¿qué hace exactamente el cuadro entre la entrada y la salida? No puedo decir ¿Qué otros procesos o dispositivos tienen acceso a los mismos dispositivos de almacenamiento? No puedo decir

El "casi" se debe a que puede haber ataques de banda lateral que le permiten determinar algunos aspectos de la plataforma. Por ejemplo, los ataques de banda lateral en JavaScript permiten que el código de un buscador aislado determine las actividades fuera del navegador (ataque reciente), y tal vez un código cuidadosamente diseñado revelará si la plataforma responde a la velocidad, la coherencia y el tiempo que debería. Pero es poco probable que funcione bien, entre otras cosas porque el servidor puede estar virtualizado y los tiempos pueden variar demasiado rápido para este tipo de enfoque por esa razón, también porque demasiadas modificaciones de código y configuraciones de hardware tienen el potencial de no crear un detector detectable por el usuario. variaciones a cualquier indicador medible.

    
respondido por el Stilez 09.07.2016 - 09:34
fuente

Lea otras preguntas en las etiquetas