我有兴趣观看即将举行的网络研讨会,该研讨会将讨论 AWS 上的 Puppet。为了参与需要安装一个软件应用程序。当然,我不会这样做,因为我可以通过一些简单的 Google 服务找到有关该主题的足够信息。
但是,有时我有兴趣参加一些网络研讨会。普通用户可能会使用什么标准来确定一个软件包是否足够安全,可以安装。尽管 Firefox 是开源的,但我对信任 Mozilla 二进制文件感到非常满意,即使我不愿意信任二进制文件,我也无法单独查看所有源代码。所以这是我将安装的下限。建立合理上限的合理标准是什么?
当然,我并不是在寻找 100% 的安全性,因为没有人可以提供。我正在为非软件开发人员的普通用户寻找合理的东西。如果不安装第三方应用程序,计算机将毫无用处,即使操作系统通过 repo 提供了它们。
信任不是一个布尔变量,“信任=真/假”,你应该更好地考虑信任级别。
一些可以帮助您评估可以授予此软件的信任级别的问题示例:
如果我正确理解您的问题:
在这种情况下,我只需创建一些虚拟机,这样我就不必再担心任何隐私问题,同时可以自由地遵守网络研讨会的要求。网络研讨会结束后,我可以自由地存档或删除 VM 映像。
您可以查看该软件是否有任何值得注意的认可,或者您信任的人是否喜欢或使用该软件,以及信任网络原则的工作原理。对于非技术用户,这是我建议的方法。对于技术用户,您可以为他们做所有的功课,并向他们展示该软件的“谱系”,或者说“我信任的一群喜欢这个软件的安全专家”。对你自己来说,你必须做功课,看看该软件是否有足够的知名度来获得推荐或认可。
例如,在我调查了Phil Zimmerman是谁、他做了什么并阅读了他的一些政治文章之前,我并没有过多考虑Silent Circle服务。在调查了他并意识到他经营或大量参与 Silent Circle 之后,我会认为它们是值得信赖的软件和/或服务。
我为OpenWhisper Systems做了同样的功课并得出了同样的结论,部分原因是 Steve Gibbs(GRC,Security Now)是Moxie Marlinspike的忠实粉丝。
另一个有影响力的著名名字是Bruce Schneier(他的博客)。如果他喜欢或不喜欢某事,那是一件大事。
目前美国没有中立的政府机构为安全/私有/匿名软件提供支持,但最接近的是 EFF(电子前沿基金会)。他们有一个提到安全产品及其功能的网站,尽管我认为他们没有提供明确的认可。
如果该软件不是很知名,并且您担心它,那么就像其他人所说的那样,您应该以某种形式隔离它。虚拟机是一个很好的沙箱;备用硬件;特殊用途的“测试”硬件,无论是否符合此类软件的潜在损害程度。