インターネット上の無作為な人から、テクノロジーは安全であり、安全に使用でき、オープンソースであるためキーロガーが含まれていないと言われました。このオープンソースアプリケーションでキーストロークロガーを簡単に検出できますが、開発者(2)は、オープンソースプロジェクトの悪質なコミッターから身を守るために何ができますか?
エンベロープ脅威分析の裏側で、もし私が悪質な開発者なら、私はgitのブランチをforkし、Twitterのサポート(そして秘密のキーストロークロガー)があるため、ダウンロードを促進します。SVNリポジトリの場合は、新しいプロジェクトを作成するだけです。悪意のあるコードを自動更新ルーチンに入れるのがさらに良いでしょう。
(1)一度に1種類の熱狂者しか扱えないため、これについては触れません。
(2)通常のユーザーはウイルスとマルウェアの検出ソフトウェアに翻弄されています-おばあちゃんがオープンソースのワードプロセッサのソースコードのコードソースを読み取ってキーストロークロガーを見つけることを期待するのは不合理です。
回答:
私は最近、FileZilla、eMule、Shareazaでソフトウェアセキュリティ分析を実行する機会がありました。私はcppcheck、RATS、およびITS4を介してコードを実行しました。コードの一部が無害か有害かを判別できるツールはありません。それは目視検査が必要です-私がしたことです。2週間かけて、ソースコードの各部分を1行ずつ調べました。私はおそらく何かを逃した。だから私の仕事は、私と同じかそれ以上のものを見つけた別の人によってバックアップされました。たとえば、FileZillaはPHPスクリプトを使用して、PASVモードのときに外部IPアドレスを決定します。そのPHPスクリプトは何をしますか?誰が本当に知っていますか?私はあなたの主張をよく理解しています。戦略に応じて、リスク軽減戦略を取り、自分でソースを調べるか、外部のコンサルタントを雇う必要があります。そうすれば、ソフトウェアが安全であることを確認できます。
これは「信頼する、そのオープンソース」のカテゴリーに分類されます。十分な数の人がプロジェクトのコードを見ているなら、誰もが悪質なことをすり抜けることはほとんどありません。また、プロジェクトを支持している党の評判を見てください。J. Random Coderですか、それともApache Software Foundationですか?明らかに、コードベースが小さいほど、何かを入れるのは難しくなります。そして、オープンソースプロジェクトは、オープンソースではない外部ライブラリに依存していますか?プロジェクトが不明なWebサイトでホストされているあいまいなプロジェクトのカスタムブランチである場合...
また、キーロガーについては特に心配しませんが、一般的にはセキュリティを強化します。これには、小規模なプロジェクトで発生する可能性がはるかに高い偶発的なセキュリティ違反が含まれます。バックドア、不十分に実装されたプライバシー、およびシステムへの必要なアクセスはすべて、意図的なキーロガーよりも可能性が高いリスクです。
開発者は、全員とペンギンにコミット特権を与えないことにより、オープンソースプロジェクトへの不正なコミッターを防ぐことができます。フリーソフトウェア/オープンソースの際立った原則は、開発はクラウドソース(可能ではあるが)であるということではなく、プロジェクトをフォークすることが可能であるということです。
ソフトウェアをダウンロードする人々は少し注意を払う必要があります、そしてそれはプロプライエタリ/クローズドソースソフトウェアと同様にF / OSSにも当てはまります。評判の良いソースから入手したソフトウェアは、通常、どちらの場合も良好です。夜の空からのソフトウェアにはマルウェアが含まれている可能性が高くなります。
誰もがオープンソースプロジェクトにコミットアクセスできるわけではありません。そして、誰かが悪意のあるコードをコミットしたとしても、ソースが公開されているため、それを発見することができます。プロジェクトの管理者を信頼していない場合は、いつでも0A0Dのような人を雇ってコードを検査することができます。完璧ではありませんが、他の方法より優れています。
クローズドソースプロジェクトの場合、サプライヤを信頼する必要があります。クローズドソースソフトウェアにバックドアがないことをどのようにして知っていますか?あなたはしません。悪意のあるコードは、不満を持った従業員、現金を稼ぐ方法を探している誰か、偶然に会社のリポジトリにアクセスできる邪悪な管理人によって追加された可能性があります...クローズドソースソフトウェアでは、知る方法がありません。