ISO / IEC 27001規格は、フリー/オープンソースソフトウェアと互換性がありませんか?
ISO/IEC 27000シリーズの規格は、情報セキュリティ管理システム(ISMS)を作成および管理する方法を示しています。 ISO/IEC 27001ドキュメントは、標準の主要な本体を提供し、多くのセクター固有のガイドラインドキュメントによって補強されています。
27001文書には、14の条項と35のカテゴリーにグループ化された114のコントロールの完全なリストをリストする長い付属書が含まれており、ISMSを監査できます。
コントロールA.9.4.5、「プログラムソースコードへのアクセスコントロール」には、次のように記載されています。
プログラムのソースコードへのアクセスは制限されます。
これは、ISO 27001がフリー/オープンソースソフトウェアと互換性がないことを意味しますか?ソースコードは制限されておらず、制限できません
これを免除する方法はありますか、それとも組織によって作成されたそのようなソフトウェアは27001認定の対象から除外する必要がありますか?
「プログラムのソースコードへのアクセスは制限されます。」は、誰もソースコードにアクセスできないことを意味しませんが、誰がアクセスできるかが定義されています。コードを変更します。重要な点は、ソースコードを秘密にすることではなく、ソースコードに対する不正な監査を受けていない変更を防ぐことです。
そしてこれはオープンソースの使用にも当てはまります。コードが実際に期待される動作を持っていることを確認せずに、どこかからいくつかのコードまたはパッチを単純にインポートして使用しないでください。つまり、バックドアを含まず、重大なバグなど。この「どういうわけか確認する」とは、自分ですべてを監査することを意味するのではなく、上流のディストリビューションとメンテナを信頼して正しいことを行うことを意味する場合もあります。アップストリームをどれだけ信頼するか、または自分でコードをレビューする量は、もちろんアップストリームがだれであるか、サードパーティのコードを使用するコードの重要度によって異なります。
しかし、モジュールをインストールするために盲目的にnpm、cpan、pipなどを使用することは危険である可能性があり、安全なコードの使用および記述の精神に反します。参照 高リスクの小世界:npmエコシステムにおけるセキュリティ脅威の研究 または 悪意のあるモジュール— npmパッケージをインストールするときに知っておくべきこと 。