Open-Source-Software-Sicherheit
Open-Source-Software-Sicherheit ist das Maß für die Gewissheit oder Garantie in der Freiheit von Gefahr und Risiko, die einem inhärent sind Quelloffene Software System.
Implementierungsdebatte
Vorteile
- Proprietäre Software zwingt den Benutzer, das Sicherheitsniveau zu akzeptieren, den der Softwareanbieter bereitstellt, und die von Patches und Updates veröffentlichte Rate zu akzeptieren und zu akzeptieren.[1]
- Es wird angenommen, dass jeder verwendete Compiler Code erstellt, dem man vertrauen kann, aber er wurde von demonstriert Ken Thompson dass ein Compiler mit a untergräbt werden kann Compiler Backdoor fehlerhafte ausführbare Säle zu erstellen, die von einem gut gemeinten Entwickler unabsichtlich produziert werden.[2] Mit dem Zugriff auf den Quellcode für den Compiler kann der Entwickler zumindest die Möglichkeit ermitteln, ob es eine fehlgeschäfte gibt.
- Kerckhoffs 'Prinzip basiert auf der Idee, dass ein Feind ein sicheres militärisches System stehlen kann und die Informationen nicht kompromittieren kann. Seine Ideen waren die Grundlage für viele moderne Sicherheitspraktiken und folgten daran Sicherheit durch Dunkelheit ist eine schlechte Praxis.[3]
Nachteile
- Das einfache verfügbare Quellcode garantiert keine Überprüfung. Ein Beispiel dafür ist, wann Marcus Ranum, ein Experte für das Design und die Implementierung von Sicherheitssystemen, veröffentlichte sein erstes öffentliches Firewall -Toolkit. Zu einer Zeit gab es über 2.000 Websites mit seinem Toolkit, aber nur 10 Personen gaben ihm Feedback oder Patches.[4]
- Eine große Menge an Augen, die den Code überprüfen, kann "einen Benutzer in ein falsches Sicherheitsgefühl hinlegen".[5] Wenn viele Benutzer den Quellcode betrachten, garantiert man nicht, dass Sicherheitsfehler gefunden und behoben werden.
Metriken und Modelle
Es gibt eine Vielzahl von Modellen und Metriken, um die Sicherheit eines Systems zu messen. Dies sind einige Methoden, mit denen die Sicherheit von Softwaresystemen gemessen werden kann.
Anzahl der Tage zwischen Schwachstellen
Es wird argumentiert, dass ein System nach Entdeckung einer potenziellen Sicherheitsanfälligkeit am anfälligsten ist, aber bevor ein Patch erstellt wird. Durch die Messung der Anzahl der Tage zwischen der Sicherheitsanfälligkeit und wenn die Sicherheitsanfälligkeit festgelegt ist, kann eine Basis für die Sicherheit des Systems bestimmt werden. Es gibt ein paar Vorbehalte für einen solchen Ansatz: Nicht jede Verwundbarkeit ist gleichermaßen schlecht, und es ist möglicherweise nicht besser, nur ein paar zu finden und sich etwas länger zu beheben, um das Betriebssystem zu berücksichtigen. oder die Wirksamkeit des Fixes.[2]
Poisson -Prozess
Das Poisson -Prozess Kann verwendet werden, um die Raten zu messen, zu denen verschiedene Personen Sicherheitsmangel zwischen offener und geschlossener Source -Software finden. Der Prozess kann durch die Anzahl der Freiwilligen nv und bezahlte Gutachter np. Die Raten, mit denen Freiwillige einen Fehler finden, wird durch λ gemessenv und der Preis, den bezahlte Gutachter feststellen, wird durch λ gemessenp. Die erwartete Zeit, in der eine freiwillige Gruppe einen Fehler findet, ist 1/(n)v λv) und die erwartete Zeit, in der eine bezahlte Gruppe einen Fehler findet, beträgt 1/(n)p λp).[2]
Morningstar -Modell
Durch den Vergleich einer Vielzahl von Open Source- und Closed Source -Projekten könnte ein Sternensystem verwendet werden, um die Sicherheit des Projekts zu analysieren, ähnlich wie Morningstar, Inc. Zinsen Investmentfonds. Bei einem ausreichend ausreichend ausreichend Datensatz konnten Statistiken verwendet werden, um die Gesamtwirksamkeit einer Gruppe über die andere zu messen. Ein Beispiel für das System ist wie folgt:[6]
- 1 Stern: Viele Sicherheitslücken.
- 2 Sterne: Zuverlässigkeitsprobleme.
- 3 Sterne: Befolgt die besten Sicherheitspraktiken.
- 4 Sterne: Dokumentierter sicherer Entwicklungsprozess.
- 5 Sterne: Übergebene unabhängige Sicherheitsüberprüfung.
Deckungsscan
Deckung In Zusammenarbeit mit der Stanford University hat eine neue Grundlinie für Qualität und Sicherheit von Open-Source eingerichtet. Die Entwicklung wird durch einen Vertrag mit dem Department of Homeland Security abgeschlossen. Sie verwenden Innovationen bei der automatisierten Defekterkennung, um kritische Arten von Fehler zu identifizieren, die in der Software enthalten sind.[7] Das Qualitätsniveau und die Sicherheit wird in Sprossen gemessen. Sprossen haben keine endgültige Bedeutung und können sich ändern, wenn die Deckung neue Tools veröffentlicht. ROGs basieren auf dem Fortschritt der Fixierungsprobleme, die die Ergebnisse der Deckungsanalyse ergeben, und auf dem Grad der Zusammenarbeit mit der Deckung.[8] Sie beginnen mit Runde 0 und gehen derzeit auf Rung 2.
- Sprosse 0
Das Projekt wurde durch die Scan-Infrastruktur von Coverity analysiert, aber keine Vertreter der Open-Source-Software haben sich für die Ergebnisse gemeldet.[8]
- Sprosse 1
Bei RUNG 1 besteht die Zusammenarbeit zwischen Deckung und dem Entwicklungsteam. Die Software wird mit einer Teilmenge der Scanfunktionen analysiert, um zu verhindern, dass das Entwicklungsteam überfordert wird.[8]
- Sprosse 2
Es gibt 11 Projekte, die im ersten Jahr des Scans auf den Status von ROG 2 analysiert und aufgerüstet wurden. Diese Projekte umfassen: Amanda, NTP, Openpam, OpenVPN, Überdosis, Perl, Php, Postfix, Python, Samba, und tcl.[8]
Medien
Eine Reihe von Podcasts umfasst die Open-Source-Software-Sicherheit:
- Open Source Security Podcast bei www
.OpenSourceSecurityPodcast .com - Linux Security Podcast bei https://www.atomicorp.com/linux-security-podcast/
Siehe auch
Verweise
- ^ Cowan, C. (Januar 2003). Software-Sicherheit für Open-Source-Systeme. IEEE Security & Privacy, 38–45. Abgerufen am 5. Mai 2008 von der digitalen Bibliothek der IEEE Computer Society.
- ^ a b c Witten, B., Landwehr, C. & Caloyannides, M. (2001, September/Oktober). Verbessert Open Source die Systemsicherheit? IEEE -Software, 57–61. Abgerufen am 5. Mai 2008 aus der Computerdatenbank.
- ^ Hoepman, J.-H. & Jacobs, B. (2007).Erhöhte Sicherheit durch Open Source.Kommunikation der ACM, 50 (1), 79–83.Abgerufen am 5. Mai 2008 aus der Digitalbibliothek ACM.
- ^ Lawton, G. (März 2002).Open Source -Sicherheit: Chance oder Oxymoron?Computer, 18–21.Abgerufen am 5. Mai 2008 von der digitalen Bibliothek der IEEE Computer Society.
- ^ M. Hansen, K. Köhntopp & A. Pfitzmann (2002).Der Open Source -Ansatz - Chancen und Einschränkungen in Bezug auf Sicherheit und Privatsphäre.Computer & Security, 21 (5), 461–471.Abgerufen am 5. Mai 2008 aus der Computerdatenbank.
- ^ Peterson, G. (6. Mai 2008). Stalking der richtigen Software -Sicherheitsmetrik.Abgerufen am 18. Mai 2008 aus dem Regentropfen.
- ^ Deckung. (n.d.). Beschleunigung von Open Source -Qualität Archiviert 5. März 2016 bei der Wayback -Maschine.Abgerufen am 18. Mai 2008 von Scan.coverity.com
- ^ a b c d Deckung. (n.d.). FAQ der Leiter scannen Archiviert 6. März 2016 bei der Wayback -Maschine.Abgerufen am 18. Mai 2008 von Scan.coverity.com.
Externe Links
- Bruce Schneier: "Open Source und Sicherheit", Krypto-Gramm-Newsletter, 15. September 1999
- Messmer, Ellen.(2013). "Sicherheit der Open-Source-Software wird erneut geprüft". Netzwerkwelt, 30 (5), 12-12,14.(Artikel bei CIO -Magazin)
- Zensusprojekt / Kerninfrastrukturinitiative durch Linux Foundation