オープンソースソフトウェアのセキュリティ評価-サードパーティの権限
ワークステーションでの使用を承認する前に、オープンソースソフトウェアが満たす必要のある内部標準を作成するようクライアントに依頼されています。私たちのポリシーは常に主観的であり、数量化が困難です。私たちは、GPG、Ruby、7-Zipなどの非常に人気があり、評判の良い製品を使用しており、新しい実証されていないプロジェクトには注意を払っています。この「非常に評判の良い」テストについても説明するより大きなポリシーの一部として、OSS製品のある種の評価を提供するサードパーティのソースを指摘できるようにしたいと思います。製品が安全であるとnotと見なされることを通知するソースを見つけるのはかなり簡単ですが、安全であることを通知する場所を見つけるのはより難しいようです。一部の製品が確立されており、信頼できると思われるという私たちの意見に第三者の裏付け(または反駁)を与えるソースを知っている人はいますか?
OSSとクローズドソース製品の相対的なセキュリティに関する議論は承知していますが、ここでは関係ありません。クライアントはOSSに対してより警戒心が強く、それについて私ができることは何もありません。
法的責任を問われる可能性があるため、OSS製品のセキュリティを保証する人やグループはあまり多くないでしょう。評判は測定の一部ですが、数値化することは困難であり、人々はハードな数字が好きです。考慮できるいくつかの要因を次に示します。
独自にレビューされていますか?
わかりました、あなたの番号です。 Coverity Scan は、静的コード分析を受けるオープンソースプロジェクトのリストです。検出された欠陥の数、密度、修正が表示され、Rubyがオンになっています。SourceForgeでプロジェクトの開発状況を確認してください。開発状況は自己評価ですが、少なくともプロジェクトがそれ自体をどのように見るかについてのアイデア。
どのように開発されていますか?チームにセキュリティ経験のある人はいますか?彼らはリリース前にレビューをしますか?リリース前に問題が見つかった場合はどうなりますか?それらは警告付きでリリースされますか、それとも欠陥が修正されるまでリリースを保持しますか?
問題に対する彼らの反応はどれくらい良いですか?
最も人気のあるオープンソースプロジェクトにはバグ追跡システムがあり、一部には特定のセキュリティ問題システムがあります。バグまたはセキュリティトラッカーを確認し、バグまたはセキュリティの問題にどれだけ迅速に対応するかを確認します。
他に誰が使用しますか?
クライアントのような他の企業がソフトウェアを使用している場合は、同業者と同等のリスクを負っています。厳しいセキュリティ要件を持つ企業がそれを使用する場合、それはその評判に信用を与えます(もちろんそれは保証ではありません)。 米国国防総省でのフリーおよびオープンソースソフトウェア(FOSS)の使用 をお読みください。ただし、日付は少し古い(2003)。
何に使うの?
使用がセキュリティクリティカルなものの外にあり、適切に分離されると言える場合は、セキュリティの堅牢性の証拠は必要ありません。明らかに、これは内部でのみ使用する必要があり、公的にアクセス可能なサーバーやコンピューターでは必要ありません。
ここでは、探している種類の入力を取得する2つの方法を示します。
Ubuntu Linuxは、Canonicalが公式サポートを提供する "main" repository と、ボランティアが管理する "universe"リポジトリで出荷する用意のあるパッケージを区別します。プロジェクトは、this.joshの回答で概説されている手順と同様の方法でパッケージを検査します。 packages.ubuntu.com のエントリでは、「メイン」にないパッケージにラベルが付けられます(たとえば、「[ユニバース]」で)
サプライヤ(すでにある程度依存しているなど)または同業者に依存していますか?これは、それに依存することによって直面する追加のリスクの量に影響を与える可能性があります。