clasificación de seguridad del software de código abierto - autoridad de terceros

Navega tus respuestas
13

Un cliente le está pidiendo a mi compañía que escriba estándares internos que el software de código abierto debe cumplir antes de que lo aprobemos para su uso en nuestras estaciones de trabajo. Nuestra política siempre ha sido subjetiva y difícil de cuantificar. Utilizamos productos muy populares y de gran reputación como GPG, Ruby y 7-Zip, y desconfiamos de los proyectos nuevos y no probados. Como parte de una política más amplia que también describe esta prueba de "alta reputación", me gustaría poder apuntar a una fuente de terceros que proporcionaría algún tipo de calificación de los productos OSS. Si bien es bastante fácil encontrar fuentes que le indiquen cuándo un producto no es no considerado seguro, parece más difícil encontrar un lugar que le diga que sí. ¿Alguien sabe de una fuente que nos proporcione alguna confirmación de terceros (o refutación) a nuestras opiniones de que algún producto parece estar establecido y de buena reputación?

Tenga en cuenta que soy consciente de los argumentos sobre la seguridad relativa de los productos OSS frente a los productos de código cerrado, pero no es relevante aquí; el cliente es más desconfiado de OSS y no hay nada que pueda hacer al respecto.

    
pregunta kcrumley 15.07.2011 - 02:40
fuente

3 respuestas

11

Es probable que no encuentre demasiadas personas o grupos que respondan por la seguridad del producto OSS porque podría ponerlos en riesgo de ser legalmente responsables. Si bien la reputación es parte de una medida, es difícil de cuantificar y a las personas les gustan los números difíciles. Aquí hay algunos factores que podría considerar.

¿Ha sido revisado independientemente?

Ok, aquí están tus números. Coverity Scan es una lista de proyectos de código abierto que se someten a un análisis de código estático. Muestra la cantidad de defectos detectados, densidad y solución, y Ruby está en ella. Busque en SourceForge el estado de desarrollo de proyectos. el estado de desarrollo es autoevaluado, pero le da al menos una idea de cómo el proyecto se ve a sí mismo.

¿Cómo se desarrolla? ¿Hay personas con experiencia en seguridad en el equipo? ¿Hacen revisiones antes de un lanzamiento? ¿Qué sucede cuando se encuentran problemas antes del lanzamiento? ¿Se liberan con una advertencia o se retiene el lanzamiento hasta que se solucione la falla?

¿Qué tan buena es su respuesta a los problemas?

Los proyectos de código abierto más populares tienen un sistema de seguimiento de errores, y algunos tienen sistemas de problemas de seguridad específicos. Verifique el error o el rastreador de seguridad y vea qué tan rápido responden a los errores o problemas de seguridad.

¿Quién más lo usa?

Si otras compañías como la de su cliente usan el software, entonces usted asume el mismo riesgo que sus pares. Si las compañías que tienen estrictos requisitos de seguridad lo utilizan, entonces le da credibilidad a su reputación (pero, por supuesto, no es una garantía). Lea Uso del software libre y de código abierto (FOSS) en el Departamento de Defensa de los EE. UU. Sin embargo, está un poco anticuado (2003).

¿Para qué se utiliza?

Si puede decir que el uso no tiene nada que ver con la seguridad, y se aislará de manera adecuada, no necesita evidencia de la solidez de la seguridad. Obviamente, esto debería ser solo para uso interno, no en un servidor o computadora de acceso público.

    
respondido por el this.josh 15.07.2011 - 03:34
fuente
2

Aquí hay dos formas de obtener información del tipo que está buscando.

  • Ubuntu Linux distingue entre los paquetes que está dispuesto a enviar en el "principal" repository , para qué Canonical proporciona soporte oficial, y el repositorio de "universo", que es mantenido por voluntarios. El proyecto revisa los paquetes de forma similar a los pasos descritos en la respuesta de this.josh. Los paquetes que no están en "principal" están etiquetados (por ejemplo, con "[universo]") en sus entradas en packages.ubuntu.com

  • ¿Sus proveedores confían en usted (de modo que usted ya dependa de ello hasta cierto punto) o sus pares? Esto puede afectar la cantidad de riesgo adicional que enfrenta al confiar en él.

respondido por el nealmcb 18.07.2011 - 15:59
fuente
-1

Es posible que desee revisar el CC. Aunque será exhaustivo y demasiado para la seguridad interna de los productos, sin embargo, solo puede considerar la parte que se ajuste a los requisitos de su organización. CC describe cómo los productos pueden ser evaluados por laboratorios competentes e independientes con licencia para determinar el cumplimiento de propiedades de seguridad particulares, hasta cierto punto o seguridad enlace http://www.commoncriteriaportal.org/supporting/

    
respondido por el RudraK 18.07.2011 - 07:59
fuente

Lea otras preguntas en las etiquetas

¿Nueva táctica de ingeniería social que usa números de serie de impresoras? ¿Existe algún riesgo en usar el mismo salt para varios hashes en un usuario?