已完本玄幻小说排行榜,欢乐颂小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

開源軟件迫切需要安全幫助

由社區(qū)資助對TrueCrypt加密工具進(jìn)行透明的安全審計(jì)工作，我們從這一項(xiàng)目得出的清晰要點(diǎn)是……恩，老實(shí)說，大家尚不完全清楚發(fā)生了什么事：審計(jì)工作分為兩個(gè)階段，在第一階段沒有發(fā)現(xiàn)什么重大問題。接著，TrueCrypt的匿名創(chuàng)始人出人意料地宣布該工具并不安全，且他們的開源項(xiàng)目已經(jīng)終止。

[[120476]]

TrueCrypt項(xiàng)目的審計(jì)及終止提出了關(guān)鍵性的開源軟件安全問題，無論軟件自身是否適于使用—對此我一無所知，但我現(xiàn)在對此持懷疑態(tài)度。約翰霍普金斯的Matthew Green以及其他人，都認(rèn)為我們需要一個(gè)持續(xù)發(fā)展的小組，來負(fù)責(zé)重要開源產(chǎn)品的安全審計(jì)工作。開放密碼審計(jì)項(xiàng)目(OCAP)由此而來。該項(xiàng)目致力于審計(jì)開源密碼庫及工具，以期至少解決安全問題的冰山一角。但這會(huì)使得開放源碼的其他部分(幾乎所有的)缺失一組安全審計(jì)記錄;也許直到我們至少可以信任密碼的安全性時(shí)，情況才會(huì)改觀。

社區(qū)驅(qū)動(dòng)的OCAP項(xiàng)目明確引入了一些互聯(lián)網(wǎng)的重量級人物。OCAP背后的項(xiàng)目成員當(dāng)即就看出必須讓一些人士參與進(jìn)來，這些人在開源及全球安全兩類社區(qū)都被廣泛認(rèn)可和信賴。OCAP技術(shù)顧問委員會(huì)包括業(yè)界資深人士Bruce Schneier、來自Matasano安全的Thomas Ptacek、計(jì)算機(jī)安全研究員Moxie Marlinspike，以及其他在密碼領(lǐng)域有重要威望的人。而指導(dǎo)委員會(huì)其中包括Marcia Hoffman。如果美國司法部找上我時(shí)，他將是我會(huì)致電的那位律師。

這個(gè)由社區(qū)驅(qū)動(dòng)的倡議正是應(yīng)該會(huì)發(fā)生的事情。我非常鼓勵(lì)你去訪問opencryptoaudit.org，并提供幫助。作為起步，你可以幫助他們使得”捐贈(zèng)”頁面運(yùn)轉(zhuǎn)。根據(jù)他們的”新聞”鏈接進(jìn)行判斷，他們也會(huì)需要公關(guān)部門的幫助。我認(rèn)為我們需要這么做且值得這么做。

然而再回到那座冰山，關(guān)系到所有開源代碼的安全性，而非一個(gè)密碼庫。某些開源軟件差不多是被擊打成形的(如Firefox瀏覽器)，因?yàn)樗恢痹馐艿饺绱藦V泛、不斷的攻擊。而所有那些隨意使用的程序庫呢?商業(yè)服務(wù)至少可以幫助你對應(yīng)用進(jìn)行歸類管理并確定已知漏洞。但誰會(huì)負(fù)責(zé)審計(jì)開源軟件的實(shí)際代碼呢?

如果我們誠實(shí)回答的話，答案幾乎可以肯定是沒有人在做這件事。甚至沒有真正采用能解決問題的正確方法。如果我們想要安全的代碼(無論商業(yè)或開放源碼)，最佳辦法是從一開始就安全地開發(fā)它。我們已經(jīng)看到，這樣做要求的是一種安全承諾，而這往往是大多數(shù)軟件開發(fā)公司很少會(huì)盡力去做的。

但是，開源項(xiàng)目往往是一群程序員圍繞一到兩個(gè)核心開發(fā)者、共同努力的成果。他們中有的聰明、有的則會(huì)犯低級錯(cuò)誤。我認(rèn)為，通過影響每個(gè)開源項(xiàng)目中那一小組核心程序員、從而創(chuàng)建一種安全代碼開發(fā)的文化，也許是可行的。事實(shí)上，某種程度來說，在開源項(xiàng)目中去推行這種作法甚至?xí)菀滓恍?，因?yàn)樗鼈兌鄶?shù)情況下不會(huì)面臨商業(yè)世界里武斷的最后期限壓力。

所以，也許對于類似OCAP的某種安全開源組織尚存有需求空間。在此我并非意指開放Web應(yīng)用程序安全項(xiàng)目(OWASP)這類致力于安全開發(fā)的組織，而是另一類，它將幫助項(xiàng)目負(fù)責(zé)人交流其工作的安全要求，也許還提供一定的資源用于體系審計(jì)—足以確保良好、安全地設(shè)計(jì)初始架構(gòu)。當(dāng)然這不是一件易事，但在那之前，我們難道不是僅或多或少在猜測開源代碼的安全性嗎?

新聞名稱：開源軟件迫切需要安全幫助
URL鏈接：http://fisionsoft.com.cn/article/dpjpcsj.html

新聞中心

其他資訊