Açık kaynaklı yazılım güvenliği - Open-source software security

Açık kaynaklı yazılım güvenliği , açık kaynaklı bir yazılım sisteminin doğasında bulunan tehlike ve riskten özgürlüğün güvence veya garantisinin ölçüsüdür .

Uygulama tartışması

Faydaları

• Tescilli yazılım , kullanıcıyı, yazılım satıcısının sunmaya istekli olduğu güvenlik düzeyini kabul etmeye ve yamaların ve güncellemelerin yayımlanma oranını kabul etmeye zorlar.
• Kullanılan herhangi bir derleyicinin güvenilir bir kod oluşturduğu varsayılır, ancak Ken Thompson tarafından bir derleyicinin, iyi niyetli bir geliştirici tarafından farkında olmadan üretilen hatalı çalıştırılabilir dosyalar oluşturmak için bir derleyici arka kapısı kullanılarak tersine çevrilebileceği gösterilmiştir . Derleyicinin kaynak koduna erişim ile, geliştiricinin en azından herhangi bir kötü niyet olup olmadığını keşfetme yeteneği vardır.
• Kerckhoffs'un prensibi , bir düşmanın güvenli bir askeri sistemi çalabileceği ve bilgiden ödün veremeyeceği fikrine dayanmaktadır. Fikirleri birçok modern güvenlik uygulamasının temelini oluşturdu ve bu güvenliğin belirsizlik yoluyla kötü bir uygulama olduğunu izledi .

Dezavantajlar

• Yalnızca kaynak kodunu kullanılabilir hale getirmek, incelemeyi garanti etmez. Bunun bir örneği, güvenlik sistemi tasarımı ve uygulaması konusunda uzman olan Marcus Ranum'un ilk genel güvenlik duvarı araç setini yayınlamasıdır. Bir zamanlar, araç setini kullanan 2.000'den fazla site vardı, ancak yalnızca 10 kişi ona herhangi bir geri bildirim veya yama verdi.
• Kodu gözden geçiren çok sayıda göze sahip olmak "kullanıcıyı yanlış bir güvenlik duygusuna kaptırabilir". Birçok kullanıcının kaynak koduna bakması, güvenlik açıklarının bulunup düzeltileceğini garanti etmez.

Metrikler ve modeller

Bir sistemin güvenliğini ölçmek için çeşitli modeller ve ölçütler vardır. Bunlar, yazılım sistemlerinin güvenliğini ölçmek için kullanılabilecek birkaç yöntemdir.

Güvenlik açıkları arasındaki gün sayısı

Bir sistemin, potansiyel bir güvenlik açığı keşfedildikten sonra, ancak bir yama oluşturulmadan önce en savunmasız olduğu iddia edilmektedir. Güvenlik açığı ile güvenlik açığının giderilmesi arasındaki gün sayısı ölçülerek sistemin güvenliği için bir temel belirlenebilir. Böyle bir yaklaşımla ilgili birkaç uyarı var: her güvenlik açığı eşit derecede kötü değildir ve çok sayıda hatayı hızlı bir şekilde düzeltmek, işletim sistemini hesaba katarak birkaçını bulup düzeltmek için biraz daha uzun sürmekten daha iyi olmayabilir. veya düzeltmenin etkinliği.

Poisson süreci

Poisson süreci farklı insanlar açık ve kapalı kaynak kodlu yazılım arasındaki güvenlik açıkları bulmak hangi oranlarını ölçmek için kullanılabilir. Süreç, gönüllülerin sayısına göre bölünebilir N _v ve ücretli gözden geçirenler N _p . Gönüllülerin bir kusur bulma oranları λ _v ile ölçülür ve ücretli gözden geçirenlerin bir kusur bulma oranı λ _p ile ölçülür . Gönüllü bir grubun bir kusur bulması için beklenen süre 1 / (N _v λ _v ) ve ücretli bir grubun bir kusur bulması için beklenen süre 1 / (N _p λ _p ) 'dir.

Morningstar modeli

Çok çeşitli açık kaynak ve kapalı kaynak projeleri karşılaştırarak , Morningstar, Inc.'in yatırım fonlarını nasıl değerlendirdiğine benzer şekilde projenin güvenliğini analiz etmek için bir yıldız sistemi kullanılabilir . Yeterince büyük bir veri kümesiyle, bir grubun diğerine göre genel etkinliğini ölçmek için istatistikler kullanılabilir. Böyle bir sistem örneği aşağıdaki gibidir:

• 1 Yıldız: Birçok güvenlik açığı.
• 2 Yıldız: Güvenilirlik sorunları.
• 3 Yıldız: En iyi güvenlik uygulamalarını takip eder.
• 4 Yıldız: Belgelenmiş güvenli geliştirme süreci.
• 5 Yıldız: Bağımsız güvenlik incelemesinden geçti.

Teminat taraması

Coverity Stanford Üniversitesi ile işbirliği içinde açık kaynak kalitesi ve güvenlik için yeni bir temel oluşturmuştur. Geliştirme, İç Güvenlik Bakanlığı ile yapılan bir sözleşme ile tamamlanmaktadır. Yazılımda bulunan kritik hata türlerini belirlemek için otomatik hata tespitindeki yeniliklerden yararlanıyorlar. Kalite ve güvenlik seviyesi basamaklarla ölçülür. Basamakların kesin bir anlamı yoktur ve Coverity yeni araçlar yayınladıkça değişebilir. Basamaklar, Coverity Analysis sonuçlarında bulunan sorunların düzeltilmesindeki ilerlemeye ve Coverity ile işbirliğinin derecesine dayanır. Basamak 0 ile başlarlar ve şu anda Basamak 2'ye giderler.

• Basamak 0

Proje, Coverity'nin Tarama altyapısı tarafından analiz edildi, ancak açık kaynaklı yazılımdan hiçbir temsilci sonuçlar için öne çıkmadı.

• Basamak 1

Birinci basamakta Coverity ve geliştirme ekibi arasında işbirliği var. Yazılım, geliştirme ekibinin bunalmasını önlemek için tarama özelliklerinin bir alt kümesiyle analiz edilir.

• Basamak 2

Taramanın ilk yılında sıfır hataya ulaşılarak analiz edilmiş ve Basamak 2 statüsüne yükseltilmiş 11 proje vardır. Bu projeler şunları içerir: AMANDA, ntp , OpenPAM , OpenVPN , Overdose, Perl , PHP , Postfix , Python , Samba ve tcl .

Medya

Bir dizi podcast, Açık kaynaklı yazılım güvenliğini kapsar:

• Açık Kaynak Güvenlik Podcast'i www .opensourcesecuritypodcast .com adresinde
• Linux Güvenlik Podcast'i https://www.atomicorp.com/linux-security-podcast/ adresinde

Ayrıca bakınız

• Açık Kaynak Güvenlik Vakfı

Referanslar

Dış bağlantılar

• Bruce Schneier : "Açık Kaynak ve Güvenlik" , Crypto-Gram Haber Bülteni , 15 Eylül 1999
• Messmer, Ellen. (2013). "Açık kaynaklı yazılımın güvenliği yeniden inceleniyor" . Network World , 30 (5), 12-12,14. ( Madde de CIO dergisi )
• Sayım Projesi / Çekirdek Altyapı Girişimi tarafından Linux Vakfı