¿Debo firmar el código de otra persona?

12

Estoy trabajando en un producto que incluye controladores de terceros para parte del hardware del producto. Algunos de los controladores no están firmados, otros solo están firmados con certificados sha1.

Dado que obtener controladores sha2 firmados (o con doble firma) de todos los terceros será muy difícil, si no imposible, ¿debo firmar los controladores que tengo con el certificado de firma de código de mi empresa?

¿Cuáles son las implicaciones, tanto técnicas como legales, de firmar el código de otra persona? ¿Confiere más que simplemente "hemos probado esta versión del controlador y confiamos en ella"?

    
pregunta Grhm 04.04.2016 - 21:55
fuente

1 respuesta

16

Cuando usted firma el código, significa que usted confirma ese código. Cuando las personas deciden confiar en su firma, significa que confían en que usted solo firme el código una vez que haya verificado que es confiable.

Cuando abusa de esa confianza y alguien encuentra malware con su firma, puede esperar que nunca vuelva a confiar en su firma. Cuando su certificado tiene un estado de confianza especial por parte de cualquier sistema operativo o plataforma de distribución, puede esperar que esta confianza sea revocada si llama la atención de los mantenedores que firmó el malware con él.

Entonces, si decide firmar controladores de dispositivos de terceros, solo debe hacerlo cuando sienta que puede asumir la responsabilidad de todo lo que haga ese conductor. Si no puede hacerlo con la conciencia tranquila, es mejor dejarlo sin firmar y dejar que el usuario decida si confía en él. O mejor, encuentra una alternativa más confiable.

    
respondido por el Philipp 04.04.2016 - 22:12
fuente

Lea otras preguntas en las etiquetas