以开放源码形式发布审计或“内部”

Question

对于密码学，发布代码被认为是一个很好的实践，这样其他人就可以对it...is进行审计--这对于渗透测试软件也是这样吗？

Answer 1

Linus (访问源代码的人越多，发现和报告bug的人就越多)只有当人们有了修复bug的动机时才适用。这种激励通常只在他们使用软件时才存在。因此，当您的软件对您进行了高度优化，并且您不期望周围会形成一个更大的社区时，您将不会从软件中得到许多bug报告和补丁。

而且，即使你的软件被广泛使用，这也不能保证人们会为你正确地审计它。一个很好的例子是心血虫，它是一个非常广泛使用的开源软件中非常典型的安全漏洞。

当谈到笔试软件时，还需要考虑一个道德因素。你的软件真的只对渗透测试有用吗，或者它真的可以被滥用来破解？你可能不想给脚本孩子工具造成损害，并使自己陷入法律问题。

Answer 2

这取决于它是什么软件，我想你会得到更多关于开源AV/防火墙或任何能监听带有特权帐户的套接字的信息的检查。但是，类似于生成外壳代码的CLI应用程序可能只会收到QA类型的响应。