Zabezpečení softwaru s otevřeným zdrojovým kódem - Open-source software security

Zabezpečení softwaru s otevřeným zdrojovým kódem je mírou ujištění nebo záruky svobody před nebezpečím a rizikem, které je vlastní softwarovému systému s otevřeným zdrojovým kódem .

Debata o provádění

Výhody

• Proprietární software nutí uživatele akceptovat úroveň zabezpečení, kterou je dodavatel softwaru ochoten dodat, a akceptovat rychlost, jakou jsou vydávány opravy a aktualizace.
• Předpokládá se, že jakýkoli použitý kompilátor vytváří kód, kterému lze důvěřovat, ale Ken Thompson prokázal, že kompilátor lze podvrátit pomocí backdooru kompilátoru a vytvořit tak chybné spustitelné soubory, které jsou nechtěně vytvořeny dobře míněným vývojářem. S přístupem ke zdrojovému kódu kompilátoru má vývojář alespoň schopnost zjistit, zda existuje nějaký úmysl.
• Kerckhoffův princip je založen na myšlence, že nepřítel může ukrást bezpečný vojenský systém a nedokáže tyto informace kompromitovat. Jeho myšlenky byly základem mnoha moderních bezpečnostních postupů a vycházely z toho, že bezpečnost pomocí neznáma je špatná praxe.

Nevýhody

• Pouhé zpřístupnění zdrojového kódu nezaručuje kontrolu. Příkladem toho je, když Marcus Ranum , expert na návrh a implementaci bezpečnostního systému, vydal svůj první veřejný firewall. Najednou existovalo přes 2 000 webů využívajících jeho sadu nástrojů, ale pouze 10 lidí mu poskytlo zpětnou vazbu nebo opravy.
• Velké množství očí, které kontroluje kód, může „uklidnit uživatele ve falešný pocit bezpečí“. Mnoho uživatelů se dívá na zdrojový kód nezaručuje, že budou nalezeny a opraveny bezpečnostní chyby.

Metriky a modely

Existuje celá řada modelů a metrik pro měření zabezpečení systému. Existuje několik metod, které lze použít k měření bezpečnosti softwarových systémů.

Počet dnů mezi zranitelnostmi

Tvrdí se, že systém je nejzranitelnější po zjištění potenciální zranitelnosti, ale před vytvořením opravy. Měřením počtu dnů mezi chybou zabezpečení a opravou chyby zabezpečení lze určit základ na zabezpečení systému. Existuje několik upozornění na takový přístup: ne každá zranitelnost je stejně špatná a rychlé řešení mnoha chyb nemusí být lepší, než jen najít několik a jejich oprava trvá trochu déle, s přihlédnutím k operačnímu systému, nebo účinnost opravy.

Poissonův proces

Proces Poisson může být použit k měření sazby, při nichž různí lidé najít bezpečnostní chyby mezi otevřeným a uzavřeným zdrojovým kódem. Proces lze rozdělit podle počtu dobrovolníků N _v a placených recenzentů N _p . Míry, při kterých dobrovolníci najdou chybu, se měří pomocí λ _v a míra, při které placení recenzenti zjistí chybu, se měří pomocí λ _p . Očekávaný čas, dobrovolník skupina se očekává, že najít chybu je 1 / (N _v λ _v ) a očekávaný čas, placené skupina se očekává, že najít chybu je 1 / (N _p λ _p ).

Model Morningstar

Porovnáním široké škály projektů s otevřeným a uzavřeným zdrojem lze hvězdný systém použít k analýze zabezpečení projektu podobně, jako společnost Morningstar, Inc. hodnotí podílové fondy. S dostatečně velkým souborem údajů lze statistiky použít k měření celkové účinnosti jedné skupiny nad druhou. Příklad takového systému je následující:

• 1 hvězdička: Mnoho chyb zabezpečení.
• 2 hvězdičky: Problémy se spolehlivostí.
• 3 hvězdičky: Řídí se nejlepšími bezpečnostními postupy.
• 4 hvězdičky: Zdokumentovaný proces bezpečného vývoje.
• 5 hvězdiček: Prošel nezávislou kontrolou zabezpečení.

Skenování pokrytí

Pokrytí ve spolupráci se Stanfordskou univerzitou vytvořilo nový základ pro kvalitu a zabezpečení open-source. Vývoj je dokončen prostřednictvím smlouvy s ministerstvem vnitřní bezpečnosti. Využívají inovace v automatizované detekci defektů k identifikaci kritických typů chyb nalezených v softwaru. Úroveň kvality a bezpečnosti se měří v příčkách. Příčky nemají definitivní význam a mohou se změnit, když Coverity vydá nové nástroje. Příčky jsou založeny na pokroku při řešení problémů zjištěných výsledky Coverity Analysis a míře spolupráce s Coverity. Začínají na Rung 0 a aktuálně jdou na Rung 2.

• Příčka 0

Projekt byl analyzován infrastrukturou Scan společnosti Coverity, ale pro výsledky se nepřihlásili žádní zástupci softwaru s otevřeným zdrojovým kódem.

• Příčka 1

Na příčce 1 existuje spolupráce mezi Coverity a vývojovým týmem. Software je analyzován s podmnožinou funkcí skenování, aby se zabránilo zahlcení vývojového týmu.

• Příčka 2

Existuje 11 projektů, které byly analyzovány a upgradovány na stav Rung 2 dosažením nulových vad v prvním roce skenování. Mezi tyto projekty patří: AMANDA, ntp , OpenPAM , OpenVPN , Overdose, Perl , PHP , Postfix , Python , Samba a tcl .

Média

Řada podcastů zahrnuje zabezpečení softwaru open-source:

• Open Source Security Podcast na www .opensourcesecuritypodcast .com
• Linux Security Podcast na https://www.atomicorp.com/linux-security-podcast/

Viz také

• Open Source Security Foundation

Reference

externí odkazy

• Bruce Schneier : „Open Source and Security“ , zpravodaj Crypto-Gram , 15. září 1999
• Messmer, Ellen. (2013). Msgstr "Zabezpečení open-source softwaru znovu přezkoumáváno" . Network World , 30 (5), 12-12,14. ( Článek v časopise CIO )
• Census Project / Core Infrastructure Initiative od Linux Foundation