开源软件迫切需要安全帮助

来源: TechTarget中国
2014/9/26 8:44:28
但是,开源项目往往是一群程序员围绕一到两个核心开发者、共同努力的成果。他们中有的聪明、有的则会犯低级错误。

分享到: 新浪微博 腾讯微博
本文关键字: 开源软件 安全
由社区资助对TrueCrypt加密工具进行透明的安全审计工作,我们从这一项目得出的清晰要点是……恩,老实说,大家尚不完全清楚发生了什么事:审计工作分为两个阶段,在第一阶段没有发现什么重大问题。接着,TrueCrypt的匿名创始人出人意料地宣布该工具并不安全,且他们的开源项目已经终止。
TrueCrypt项目的审计及终止提出了关键性的开源 软件安全问题,无论软件自身是否适于使用-对此我一无所知,但我现在对此持怀疑态度。约翰霍普金斯的Matthew Green以及其他人,都认为我们需要一个持续发展的小组,来负责重要开源产品的安全审计工作。开放密码审计项目(OCAP)由此而来。该项目致力于审计开源密码库及工具,以期至少解决安全问题的冰山一角。但这会使得开放源码的其他部分(几乎所有的)缺失一组安全审计记录;也许直到我们至少可以信任密码的安全性时,情况才会改观。
社区驱动的OCAP项目明确引入了一些 互联网的重量级人物。OCAP背后的项目成员当即就看出必须让一些人士参与进来,这些人在开源及全球安全两类社区都被广泛认可和信赖。OCAP技术顾问委员会包括业界资深人士Bruce Schneier、来自Matasano安全的Thomas Ptacek、计算机安全研究员Moxie Marlinspike,以及其他在密码领域有重要威望的人。而指导委员会其中包括Marcia Hoffman.如果美国司法部找上我时,他将是我会致电的那位律师。
这个由社区驱动的倡议正是应该会发生的事情。我非常鼓励你去访问opencryptoaudit.org,并提供帮助。作为起步,你可以帮助他们使得“捐赠”页面运转。根据他们的“新闻”链接进行判断,他们也会需要公关部门的帮助。我认为我们需要这么做且值得这么做。
然而再回到那座冰山,关系到所有开源代码的安全性,而非一个密码库。某些开源软件差不多是被击打成形的(如Firefox浏览器),因为它一直遭受到如此广泛、不断的攻击。而所有那些随意使用的程序库呢?商业服务至少可以帮助你对应用进行归类管理并确定已知漏洞。但谁会负责审计开源软件的实际代码呢?
如果我们诚实回答的话,答案几乎可以肯定是没有人在做这件事。甚至没有真正采用能解决问题的正确方法。如果我们想要安全的代码(无论商业或开放源码),最佳办法是从一开始就安全地开发它。我们已经看到,这样做要求的是一种安全承诺,而这往往是大多数软件开发公司很少会尽力去做的。
但是,开源项目往往是一群程序员围绕一到两个核心开发者、共同努力的成果。他们中有的聪明、有的则会犯低级错误。我认为,通过影响每个开源项目中那一小组核心程序员、从而创建一种安全代码开发的文化,也许是可行的。事实上,某种程度来说,在开源项目中去推行这种作法甚至会更容易一些,因为它们多数情况下不会面临商业世界里武断的最后期限压力。
所以,也许对于类似OCAP的某种安全开源组织尚存有需求空间。在此我并非意指开放Web应用程序安全项目(OWASP)这类致力于安全开发的组织,而是另一类,它将帮助项目负责人交流其工作的安全要求,也许还提供一定的资源用于体系审计-足以确保良好、安全地设计初始架构。当然这不是一件易事,但在那之前,我们难道不是仅或多或少在猜测开源代码的安全性吗?
责编:李玉琴
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
奔跑吧!企业级移动应用

2013-2014年,资本市场已经开始在企业级移动应用市场发力;BAT纷纷进入,不断拉低移动应用门槛;移动互联网的发展对传统企业产生了巨大的冲击,传统企业已经意识到移动互..

畅享
首页
返回
顶部
×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
Baidu
map