25 января информационное агентство Reuters. сообщил что такие фирмы, как McAfee, SAP и Symantec, позволили российским спецслужбам изучать исходный код своих продуктов, и это «потенциально подвергает риску компьютерные сети как минимум десятка федеральных агентств США».
Цель данной статьи — рассказать об аудите исходного кода и о том, какие компании его допускают, а также рассмотреть тезис о том, что «разрешение России изучать исходный код таких программных решений может привести к выявлению неизвестных уязвимостей, которые могут быть использованы для подрыва».
Сетевая безопасность США».
Основная мысль статьи Reuters заключается в том, что запрашивать исходный код для аудита — плохая и опасная практика.
Это просто неправда.
Аудит кода очень широкий общий обычный практика, используемая как компаниями, так и профессиональными разработчиками и специалистами по информационной безопасности для обеспечения безопасности устанавливаемого ими программного обеспечения.
В статье информационного агентства также отмечается, что «Reuters не обнаружило никаких доказательств того, что аудит исходного кода имел отношение к кибератакам».
Для нас в EFF обычным делом является проведение аудита исходного кода любого программного обеспечения, которое мы решили использовать.
Чтобы внести ясность: мы не хотим преуменьшать внешние угрозы кибербезопасности США или поощрять эксплуатацию уязвимостей программного обеспечения; скорее, мы хотим подчеркнуть, что открытый исходный код и аудит кода являются надежными средствами контроля безопасности.
Вот почему EFF решительно поддерживает распространение и использование программного обеспечения с открытым исходным кодом.
Не только производители К запретить иностранным правительствам проводить аудит кода, торговые соглашения теперь используются, чтобы запретить странам запрашивать аудит кода пакетов программного обеспечения, которые для них важны.
Первым торговым соглашением с таким ограничением стало Всеобъемлющее и прогрессивное Транстихоокеанское партнёрство (ВПТТП, также известное как ТТП), которое должно было быть подписано в марте этого года.
Аналогичное ограничение предлагается включить в обновленное Североамериканское соглашение о свободной торговле (НАФТА) и в готовящееся двустороннее соглашение с ЕС.
EFF уже высказал свою позицию по этому вопросу.
: Подобные запреты на обязательный аудит кода создают препятствия для легализации мер по подтверждению безопасности и качества программного обеспечения, такого как VPN и средства защищенной связи, а также таких устройств, как маршрутизаторы и IP-камеры.
Неявное предположение, что «сохранение конфиденциальности исходного кода делает нас более безопасными», очень опасно.
Исследователи и эксперты в области информационной безопасности периодически демонстрируют нам, что безопасность в первую очередь зависит от безопасности через неясность.
Хуже всего то, что это дает ИТ-специалистам ложное чувство безопасности и поощряет, соответственно, неверные подходы к информационной безопасности.
Даже во времена политических бурь и неопределенности мы не должны терять голову.
Разрешение аудита исходного кода программного обеспечения не является проблемой для нашей национальной безопасности — на самом деле, нам отчаянно нужно больше таких проверок.
Теги: #EFF #безопасность сквозь неизвестность #информационная безопасность
-
Развитие Видеоконференцсвязи
19 Oct, 24 -
Фбр Оценило Ущерб От Киберпреступности В Сша
19 Oct, 24
