クローズドソースの会社がコードを監査するために誰かを雇うとき、監査人は会社のオフィスで監査を強制されますか?
ACME、Inc.がクローズドソースソフトウェアを作成しているとしましょう。理由により閉じられています(コンパイルされた形式以外で建物を離れたくない)。現在、彼らは彼らのためにコードを監査するために何人かの会社/人を雇っています。これはどのように正確に行われますか?
私がACME、Inc.の場合、私は監査人(または複数の人)が私の物理的な場所に来て、文字どおりインターネットにアクセスできない部屋に閉じ込められ、入室時にUSBスティックやその他の電子機器の両方に注意深くこじらせたいと思います。そして去る。画面と監査人の顔/手をカメラで記録し、監査人がそこで過ごす時間の100%を使用します。この時間は、私自身の従業員が発生時および/またはその後に注意深く見ます。
ただし、これは、監査を行う人にとって侮辱的であり、最大かつ最も裕福な会社以外にとっては非現実的でもあります。 (そして、セキュリティを意識した/偏執的なCEOとともに。)
彼らがソースコードツリーをZip圧縮して、監査人または類似のものに電子メールで送信するだけだとは思えません。暗号化などを行ったとしても、これは恐ろしく安全ではないと感じるだけです。ソースコードが監査人にリモートで送信される2番目の場合、それは「建物を離れ」、「公開される可能性」があるように感じます。
これは実際にはどのように行われますか?企業は本当に監査会社のセキュリティを信頼していますか?これを入力すると、自分のコードの欠陥を見つけるためにお金を払っているので、それがいかに馬鹿げているかを理解しますが、それでも、プロセス全体を制御しないことについては、恐ろしく安全でないように聞こえます。
最近のほとんどの企業が「プライベートGitHubリポジトリ」を使用していて、監査人が何らかのGUIでアクセスできるようになっていると答えても驚かないでしょう。しかし、私は決して自分でそれをすることはありません...
これはどのように正確に行われますか?
それは会社とそのIPに必要なセキュリティのレベルに完全に依存します。場合によっては、監査は厳重な監視の下でオンプレミスで実行する必要があります。他の場合では、NDAに署名してソースコードをデジタルで取得する以外に何も必要ありません。これを行う「標準」の方法はありません。Microsoftは、後者の手法を使用しています。ソースコードの大部分(「共有ソース」)。
ただし、これは、監査を行う人にとって侮辱的であり、最大かつ最も裕福な会社以外にとっては非現実的でもあります。 (そして、セキュリティを意識した/偏執的なCEOと。)
それは侮辱的ではなく、多くのinfosec専門家がオンプレミス要件に慣れています。場合によっては、サーバーへのアクセスもサイトで実行する必要があり、ログを取り出すことができません。それが非現実的であるかどうかは、あなたの財政とあなたのスケジュールに依存します。オンプレミス監査はより多くの費用がかかることは事実ですが、それが行われることは珍しくもありません。ただし、それに慣れている監査人を選んで、関係するポリシーに精通させてください。