日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

 由社區(qū)資助對TrueCrypt加密工具進(jìn)行透明的安全審計工作，我們從這一項目得出的清晰要點是……恩，老實說，大家尚不完全清楚發(fā)生了什么事：審計工作分為兩個階段，在第一階段沒有發(fā)現(xiàn)什么重大問題。接著，TrueCrypt的匿名創(chuàng)始人出人意料地宣布該工具并不安全，且他們的開源項目已經(jīng)終止。

[[120476]]

TrueCrypt項目的審計及終止提出了關(guān)鍵性的開源軟件安全問題，無論軟件自身是否適于使用—對此我一無所知，但我現(xiàn)在對此持懷疑態(tài)度。約翰霍普金斯的Matthew Green以及其他人，都認(rèn)為我們需要一個持續(xù)發(fā)展的小組，來負(fù)責(zé)重要開源產(chǎn)品的安全審計工作。開放密碼審計項目(OCAP)由此而來。該項目致力于審計開源密碼庫及工具，以期至少解決安全問題的冰山一角。但這會使得開放源碼的其他部分(幾乎所有的)缺失一組安全審計記錄;也許直到我們至少可以信任密碼的安全性時，情況才會改觀。

社區(qū)驅(qū)動的OCAP項目明確引入了一些互聯(lián)網(wǎng)的重量級人物。OCAP背后的項目成員當(dāng)即就看出必須讓一些人士參與進(jìn)來，這些人在開源及全球安全兩類社區(qū)都被廣泛認(rèn)可和信賴。OCAP技術(shù)顧問委員會包括業(yè)界資深人士Bruce Schneier、來自Matasano安全的Thomas Ptacek、計算機(jī)安全研究員Moxie Marlinspike，以及其他在密碼領(lǐng)域有重要威望的人。而指導(dǎo)委員會其中包括Marcia Hoffman。如果美國司法部找上我時，他將是我會致電的那位律師。

這個由社區(qū)驅(qū)動的倡議正是應(yīng)該會發(fā)生的事情。我非常鼓勵你去訪問opencryptoaudit.org，并提供幫助。作為起步，你可以幫助他們使得”捐贈”頁面運轉(zhuǎn)。根據(jù)他們的”新聞”鏈接進(jìn)行判斷，他們也會需要公關(guān)部門的幫助。我認(rèn)為我們需要這么做且值得這么做。

然而再回到那座冰山，關(guān)系到所有開源代碼的安全性，而非一個密碼庫。某些開源軟件差不多是被擊打成形的(如Firefox瀏覽器)，因為它一直遭受到如此廣泛、不斷的攻擊。而所有那些隨意使用的程序庫呢?商業(yè)服務(wù)至少可以幫助你對應(yīng)用進(jìn)行歸類管理并確定已知漏洞。但誰會負(fù)責(zé)審計開源軟件的實際代碼呢?

如果我們誠實回答的話，答案幾乎可以肯定是沒有人在做這件事。甚至沒有真正采用能解決問題的正確方法。如果我們想要安全的代碼(無論商業(yè)或開放源碼)，最佳辦法是從一開始就安全地開發(fā)它。我們已經(jīng)看到，這樣做要求的是一種安全承諾，而這往往是大多數(shù)軟件開發(fā)公司很少會盡力去做的。

但是，開源項目往往是一群程序員圍繞一到兩個核心開發(fā)者、共同努力的成果。他們中有的聰明、有的則會犯低級錯誤。我認(rèn)為，通過影響每個開源項目中那一小組核心程序員、從而創(chuàng)建一種安全代碼開發(fā)的文化，也許是可行的。事實上，某種程度來說，在開源項目中去推行這種作法甚至?xí)菀滓恍?，因為它們多?shù)情況下不會面臨商業(yè)世界里武斷的最后期限壓力。

所以，也許對于類似OCAP的某種安全開源組織尚存有需求空間。在此我并非意指開放Web應(yīng)用程序安全項目(OWASP)這類致力于安全開發(fā)的組織，而是另一類，它將幫助項目負(fù)責(zé)人交流其工作的安全要求，也許還提供一定的資源用于體系審計—足以確保良好、安全地設(shè)計初始架構(gòu)。當(dāng)然這不是一件易事，但在那之前，我們難道不是僅或多或少在猜測開源代碼的安全性嗎?

當(dāng)前標(biāo)題：開源軟件迫切需要安全幫助
本文地址：http://www.5511xx.com/article/dpjpcsj.html