오픈 소스 소프트웨어 보안
Open-source software security오픈 소스 소프트웨어 보안은 오픈 소스 소프트웨어 시스템에 내재된 위험과 위험으로부터 자유로운 보증 또는 보증을 위한 척도입니다.
구현에 관한 토론
혜택들
- 독자 사양의 소프트웨어는 소프트웨어 벤더가 제공하는 보안 수준을 수용하고 패치 및 업데이트 릴리스 [1]비율을 수용하도록 강제합니다.
- 사용되는 컴파일러는 모두 신뢰할 수 있는 코드를 생성하는 것으로 간주되지만, Ken Thompson은 컴파일러 백도어를 사용하여 컴파일러를 전복시켜 의도하지 않은 [2]개발자에 의해 생성된 불량 실행 파일을 생성할 수 있음을 증명했습니다.컴파일러의 소스 코드에 액세스 할 수 있기 때문에 개발자는 적어도 악의가 있는지 여부를 검출할 수 있습니다.
- Kerckhoffs의 원칙은 적이 안전한 군사 시스템을 훔칠 수 있고 정보를 손상시킬 수 없다는 생각에 바탕을 두고 있다.그의 생각은 많은 현대적 보안 관행의 기초가 되었고, 무명을 통한 보안은 나쁜 [3]관행이라는 것을 따랐다.
결점
- 단순히 소스 코드를 사용 가능하게 한다고 해서 리뷰가 보장되는 것은 아닙니다.보안 시스템 설계 및 구현 전문가인 Marcus Ranum이 첫 번째 공개 방화벽툴킷을 출시했을 때 그 예가 됩니다.한때 그의 툴킷을 사용하는 사이트가 2,000개가 넘었지만 10명만이 그에게 피드백이나 패치를 [4]제공했습니다.
- 코드를 검토하는 눈이 많으면 "사용자가 잘못된 보안의식을 갖게 될"[5] 수 있습니다.많은 사용자가 소스 코드를 조사한다고 해서 보안 결함이 발견되어 수정되는 것은 아닙니다.
측정 기준 및 모델
시스템의 보안을 측정하기 위한 다양한 모델과 메트릭이 있습니다.다음은 소프트웨어 시스템의 보안을 측정하는 데 사용할 수 있는 몇 가지 방법입니다.
취약성 간격 일수
잠재적인 취약성이 발견된 후 패치가 생성되기 전에 시스템이 가장 취약하다고 주장됩니다.취약성과 취약성의 수정까지의 일수를 측정함으로써 시스템 보안에 대한 근거를 결정할 수 있다.이러한 접근법에는 몇 가지 주의사항이 있습니다.모든 취약성이 똑같이 나쁜 것은 아닙니다.또한 많은 버그를 신속하게 수정하는 것이 운영체제나 [2]수정의 효과를 고려하여 몇 가지 버그를 찾아 수정하는 데 시간이 걸리는 것보다 나을 수 없습니다.
포아송 과정
포아송 프로세스를 사용하여 오픈소스 소프트웨어와 클로즈드소스 소프트웨어 사이에서 다양한 사용자가 보안 결함을 발견하는 비율을 측정할 수 있습니다.이 과정은 자원봉사자v N명과 유료 리뷰어p N명으로 나눌 수 있다.자원자가 결함을 발견한 비율은 and로v 측정하고 유료 리뷰어가 결함을 발견한 비율은 λ로p 측정합니다.자원봉사자 그룹이 결함을 발견할 것으로 예상되는 시간은 1/(Nvv )), 유료 그룹이 결함을 발견할 것으로 예상되는 시간은 1/(Np [2]λp)입니다.
모닝스타 모델
다양한 오픈 소스 프로젝트와 클로즈드 소스 프로젝트를 비교함으로써 Morningstar, Inc.가 뮤추얼 펀드를 평가하는 방식과 마찬가지로 스타 시스템을 사용하여 프로젝트의 보안을 분석할 수 있습니다.데이터 세트가 충분히 크면 통계를 사용하여 한 그룹의 전체 효과를 다른 그룹에 비해 측정할 수 있습니다.이러한 시스템의 예는 다음과 같습니다.[6]
- 별 1개: 많은 보안 취약점.
- 별 2개: 신뢰성의 문제.
- 별 3개: 베스트 시큐러티 프랙티스를 따릅니다.
- 별 4개: 안전한 개발 프로세스 문서화
- 별 5개: 독립 보안 심사 통과.
커버리티 스캔
Coverity는 스탠포드 대학과 협력하여 오픈 소스의 품질과 보안을 위한 새로운 기준을 확립했습니다.국토안보부와의 계약을 통해 개발이 완료되고 있다.이들은 소프트웨어에서 [7]발견된 중요한 유형의 버그를 식별하기 위해 자동화된 결함 검출의 혁신적인 기술을 활용하고 있습니다.품질과 보안 수준은 릉 단위로 측정됩니다.Rungs는 명확한 의미가 없으며 Coverity가 새로운 도구를 출시함에 따라 변경될 수 있습니다.Rungs는 Coverity Analysis 결과에 의해 발견된 문제의 수정 진행 상황 및 Coverity와의 [8]협업 정도에 따라 결정됩니다.Rung 0부터 시작해서 현재는 Rung 2까지 올라갑니다.
- Rung 0
이 프로젝트는 Coverity의 Scan 인프라스트럭처에 의해 분석되었지만,[8] 오픈 소스 소프트웨어 담당자는 그 결과를 위해 나서지 않았습니다.
- 룽 1
첫 번째 단계에서는 커버티와 개발 팀 간의 협업이 이루어집니다.소프트웨어는 스캔 기능의 서브셋으로 분석되어 개발팀이 [8]과부하되는 것을 방지합니다.
- 룽 2
검사 첫 해에 결함 제로까지 도달하여 Rung 2의 상태로 분석 및 업그레이드된 프로젝트는 11개입니다.이러한 프로젝트에는 AMANDA, ntp, OpenPAM, OpenVPN, Oversage, Perl, PHP, Postfix, Python, Samba 및 [8]tcl이 포함됩니다.
미디어
오픈 소스 소프트웨어 보안을 다루는 팟캐스트는 다음과 같습니다.
- 오픈소스 보안 팟캐스트(www.opensourcesecuritypodcast.com)
- Linux 보안 팟캐스트 (https://www.atomicorp.com/linux-security-podcast/ )
「 」를 참조해 주세요.
레퍼런스
- ^ Cowan, C. (2003년 1월)오픈 소스 시스템용 소프트웨어 보안.IEEE Security & Privacy, 38 ~IEEE Computer Society Digital Library에서 2008년 5월 5일 취득.
- ^ a b c 위튼, B., C., & Caloyannides, M.(2001, 9월/10월)오픈 소스로 시스템 보안이 향상됩니까?IEEE 소프트웨어, 57~61.2008년 5월 5일 컴퓨터 데이터베이스에서 취득.
- ^ Hoepman, J.-H. 및 Jacobs, B. (2007)오픈소스를 통한 보안 강화ACM 의 통신, 50 (1) 、 79 ~83 。2008년 5월 5일 ACM 디지털 라이브러리에서 취득.
- ^ 로튼, G. (2002년 3월)오픈 소스 보안:오퍼튜니티 아니면 옥시모론?컴퓨터, 18~21.IEEE Computer Society Digital Library에서 2008년 5월 5일 취득.
- ^ Hansen, M., Köhntopp, K. 및 Pfitzmann, A. (2002)오픈 소스 어프로치– 보안과 프라이버시에 관한 기회와 제한.컴퓨터와 보안, 21(5), 461~471.2008년 5월 5일 컴퓨터 데이터베이스에서 취득.
- ^ 피터슨, G. (2008년 5월 6일)올바른 소프트웨어 보안 메트릭을 스토킹합니다.2008년 5월 18일 Raindrop에서 취득.
- ^ 은폐. (n.d.)오픈 소스 품질 가속화 2016년 3월 5일 Wayback Machine에서 아카이브되었습니다.2008년 5월 18일 스캔에서 취득.Coverity.com
- ^ a b c d 은폐. (n.d.)스캔 래더 FAQ 2016년 3월 6일 Wayback Machine에 보관.2008년 5월 18일 스캔에서 취득.Coverity.com 를 참조해 주세요.
외부 링크
- 브루스 슈나이어: "오픈 소스와 보안", Crypto-Gram 뉴스레터, 1999년 9월 15일
- 메시, 엘렌.(2013).「오픈 소스 소프트웨어의 시큐러티가 재차 정밀 조사되고 있습니다.」Network World, 30(5), 12-12,14. (CIO 매거진 기사)
- Linux Foundation의 센서스 프로젝트/코어 인프라스트럭처 이니셔티브
