18 Ноября, 2011

Спрятать лист в лесу

InfoWatch
Популярный аргумент сторонников открытого кода – что «каждый может его проверить» на предмет НДВ и прочих безобразий.

На самом-то деле, можетдалеко не каждый. Лишь ничтожный процент пользователей обладает нужной квалификацией. Впрочем, даже они могут, но не хотят. Изучать миллион строк исходного кода – это работа, на которую даже за деньги не всякого уговоришь.

Паранойя с ИТ-квалификацией сочетается редко.

Бывают специально нанятые для поиска НДВ сертификаторы с соответствующими инструментами. Но для них, если уж деньги нашлись, и исходники проприетарных продуктов обычно предоставляются без проблем.

Профессионал же, добровольно и бесплатно шерстящий исходный код на предмет потенциальных чёрных ходов – организм, в дикой природе не встречающийся.

Кроме того, вот уже лет 15, как в спецслужбах всего мира утвердилась мода делать бэкдоры исключительно под видом ненамеренных ошибок. Так всем спокойнее. И скрытность выше. И "разоблачение внедрённого агента" не приводит ко шпионскому скандалу, а выглядит банальным обнаружением очередной уязвимости.

Ваш покорный слуга остаётся сторонником свободного ПО и открытых исходников. Однако вышеуказанный аргумент – вычёркиваем.

или введите имя

CAPTCHA
18 Ноября, 2011
Дело в том, что на данный момент не существует явных требований по методическим подходам к выполнению статического и динамического аудита исходного кода приложения при осуществлении процедуры выявления НДВ. Более того, на данный момент, используемые средства и инструментарий, который используется при испытаниях и соответствующих мероприятиях, также не предполагает какой-либо сертифицикации и испытаний на отсутствие НДВ (например, используется ПО зарубежного производства, IDA Pro и так далее).
0 |
19 Ноября, 2011
Остаюсь сторонником мыслей, выраженных в статье автора, но не могу согласиться с фразой: "Профессионал же, добровольно и бесплатно шерстящий исходный код на предмет потенциальных чёрных ходов – организм, в дикой природе не встречающийся". Как раз таки встречается, если поискать. И называют их ХАКЕРАМИ.
0 |
c00lzer0
22 Ноября, 2011
Каждый не может, но как минимум имеет возможность. Либо самостоятельно, либо с помощью тех, кому доверяет аудит. Причем если сравнивать аудит проприетарного(в бинарном виде) ПО и с открытым исходным кодом, то второй на порядок проще и результативнее. Исходя из этого. 1. Аудит любого ПО в любом случае требует соотвествующей квалификации и "каждому" его не поручишь. 2. Аудит ПО с открытым исходным кодом гораздо проще сам по себе, требует в разы меньше человекочасов и прочих затрат. 3. Повторный аудит ПО (обновление версии) с открытим исходным кодом облегчает задачу уже на несколько порядков, т.к. достаточно выполнить аудит только измененных частей кода по отношению к коду, прошедшему полный аудит. Наличие открытого исходного кода относительно задачи поиска НДВ - это аргумент, очень серьезный, выраженные в конкретных суммах сэкономленных денежных средств.
0 |