一位客户要求我的公司编写开源软件必须满足的内部标准,然后我们才会批准它在我们的工作站上使用。我们的政策一直是主观的,难以量化。我们使用 GPG、Ruby 和 7-Zip 等非常流行、信誉良好的产品,并且对未经证实的新项目保持警惕。作为一个更大的政策的一部分,该政策也描述了这个“高度信誉”的测试,我希望能够指出一个可以提供某种 OSS 产品评级的第 3 方来源。虽然很容易找到可以告诉您产品何时不可用的资源被认为是安全的,似乎更难找到一个能告诉你它是安全的地方。有没有人知道某个消息来源可以为我们提供一些第 3 方佐证(或反驳)我们认为某些产品似乎已建立且声誉良好的观点?
请注意,我知道关于 OSS 与闭源产品的相对安全性的争论,但这与这里无关;客户对 OSS 更加警惕,对此我无能为力。
您可能不会找到太多的个人或团体来保证 OSS 产品的安全性,因为这可能会使他们面临承担法律责任的风险。虽然声誉是衡量标准的一部分,但它很难量化,人们喜欢硬数字。以下是您可以考虑的一些因素。
是否经过独立审查?
好的,这是你的号码。Coverity Scan是经过静态代码分析的开源项目列表。它显示检测到的缺陷数量、密度和已修复,Ruby 就在上面。在 SourceForge 上查看项目开发状态。开发状态是自我评估的,但它至少让您了解项目如何看待自己。
它是如何开发的?团队中有没有安全经验的人?他们会在发布前进行评论吗?在发布之前发现问题会发生什么:他们发布时会发出警告还是保留发布直到缺陷修复?
他们对问题的反应有多好?
大多数流行的开源项目都有一个错误跟踪系统,有些有特定的安全问题系统。检查错误或安全跟踪器,看看他们对错误或安全问题的响应速度。
还有谁使用它?
如果像您的客户这样的其他公司使用该软件,那么您承担的风险与您的同行相同。如果有严格安全要求的公司使用它,那么它的声誉就会得到信任(但当然它不是保证)。阅读美国国防部的免费和开源软件 (FOSS) 的使用,但它有点过时(2003 年)。
这有什么用途?
如果您可以说使用超出了任何安全关键,并且将被适当隔离,那么您不需要安全稳健性的证据。显然,这只能在内部使用,而不是在可公开访问的服务器或计算机上使用。
这里有两种方法可以获取您正在寻找的类型的输入。
Ubuntu Linux 区分它愿意在“主”存储库中发布的软件包,Canonical 为其提供官方支持,以及由志愿者维护的“宇宙”存储库。该项目以类似于 this.josh 的答案中概述的步骤的方式审查包。不在“main”中的包在packages.ubuntu.com的条目中被标记(例如,带有“[universe]”)
你的供应商是否依赖它(以至于你已经在某种程度上依赖它)或你的同行?这可能会影响您因依赖它而面临的额外风险。
您可能想查看 CC。虽然这对于产品的内部保证来说是详尽无遗的,但您可能只考虑适合您组织要求的部分。CC 概述了如何由有能力的独立许可实验室评估产品,以确定特定安全属性的实现,在一定程度上或保证 http://www.commoncriteriaportal.org/cc/ http://www.commoncriteriaportal。组织/支持/