开源软件安全等级-第三方权威

Question

一位客户正在要求我的公司编写开源软件必须满足的内部标准，然后我们才会批准它在我们的工作站上使用。我们的政策一向是主观的，难以量化。我们使用非常受欢迎的，声誉很高的产品，如GPG，Ruby和7-Zip，并警惕新的，未经验证的项目。作为一个更大的政策的一部分，也描述了这一“高度声誉”的测试，我希望能够指出一个第三方的来源，将提供某种等级的开放源码软件产品。虽然很容易找到可以告诉您产品何时不安全的来源，但似乎更难找到一个能够告诉您是否安全的地方。有没有人知道一个消息来源，会给我们一些第三方的佐证(或反驳)我们的观点，一些产品似乎已经确立和声誉？

请注意，我知道关于OSS与封闭源产品的相对安全性的争论，但这与此无关；客户端对OSS更加谨慎，对此我无能为力。

Answer 1

您可能不会找到太多的人或团体谁将担保开放源码软件产品的安全，因为它可能使他们处于法律责任的风险。虽然声誉是衡量标准的一部分，但它很难量化，人们喜欢硬数字。以下是一些你可以考虑的因素。

是否进行了独立的审查？

好的，这是你的号码。隐蔽性扫描是经过静态代码分析的开源项目列表。它显示了检测到的缺陷数量、密度和修复情况，Ruby也在上面。查看SourceForge的项目开发状态。开发状态是自我评估的，但它至少可以让您了解项目如何看待自身。

它是如何发展起来的？团队中有有安全经验的人吗？他们在发布前会做评论吗？当在发布之前发现问题时会发生什么情况:他们是在发布时发出警告，还是等到漏洞修复后才发布？

他们对问题的反应有多好？

大多数流行的开源项目都有bug跟踪系统，有些项目有特定的安全问题系统。检查错误或安全跟踪器，看看它们对错误或安全问题的反应有多快。

还有谁用它？

如果其他公司喜欢您的客户使用该软件，那么您承担的风险等于您的同行。如果有严格的安全要求的公司使用它，那么它会给它的声誉带来可信度(当然，它不是一种保证)。阅读美国国防部免费开放源码软件(FOSS)的使用，但是它有点过时(2003年)。

它是用来干什么的？

如果您可以说该使用超出了任何安全关键，并且将被适当隔离，那么您就不需要安全性稳健性的证据。显然，这需要仅供内部使用，而不是在可公开访问的服务器或计算机上使用。

Answer 2

您可能想回顾一下CC。尽管这将是详尽无遗的，对于产品的内部保证来说也太过了，但是您可能只考虑适合您的组织要求的部分。CC概述了如何由合格和独立的许可实验室对产品进行评估，以便在一定程度上或保证http://www.commoncriteriaportal.org/cc/ http://www.commoncriteriaportal.org/supporting/确定特定安全属性的实现情况。