セキュリティスイートのソースコードが漏洩した場合に、どのような脅威がもたらされるか知りたいです。次のURLを読んだ後、それが思い浮かびました。
http://www.pentestit.com/2011/01/31/source-code-kaspersky-antivirus/
http://forum.kaspersky.com/index.php?showtopic=199598
ソースコードが最新である場合の脅威とは何か、そのような製品を使用しているときに、セキュリティが最小限のリスクであることを確認するにはどうすればよいですか(ソースコードが漏洩しない状況と比較して)。
攻撃者が弱点を見つけるためにコードをトロールすることを保証できるため、短期的には脅威の可能性が高まる可能性がありますが、同じことを行う多数のホワイトハットや、カスペルスキーを使用する組織のコードレビューチームも存在しますなので、問題が見つかるかもしれませんが、最終的には、そうでない場合よりも安全なコードベースになる可能性があります。
多くの目、そしてそのすべて。
ただし、攻撃者がすでにリバースエンジニアリングを行ってAVコードを分析している可能性が高いため、相対リスクを推定することは困難です。この場合、レビュープールに善玉を追加すると、リスクが下がる可能性があります。
これは、オープンソースがセキュリティを低下させるかどうかという昔からの問題ではないでしょうか?少なくともセキュリティの専門家の間で一般的な理論は、セキュリティを提供するためにアクセスされていないコードに依存している場合、あなたが持っているのは不明瞭なセキュリティだけであるというものです。これが、信頼されている唯一の暗号化アルゴリズムが、コードが開かれ、何年にもわたって多数の人々によって広範囲に分析されている場所である理由です。この場合のセキュリティソフトウェアがKapenskyと異なる理由を実際に見ないでください。
それは私が私のオープンソースの post で次のポイントを作ったことを言った:
OWASPリスクレーティング手法でも、全体的なリスクを増大させる脆弱性要因として、検出が容易で、悪用が容易です。企業には多くのメインフレームコードにセキュリティの脆弱性がたくさんあるはずですが、リスクスコアを計算するときは、ダウンロードした最新のオープンソースCMSに存在するクロスサイトスクリプティングの脆弱性よりも低くなければなりません。これで、これがあなたの頭にぶら下がっている短剣であるという見方をすることができます。誰かがそれを見つけて悪用するのは時間の問題です(例:StuxnetとSCADA)。別の見方では、リソースが限られているため、セキュリティ管理を徹底的に防御し、ソースコードを機密に保つことは、正当なリスク軽減戦略であると考えています。
いずれにしても、影響は最小限に抑えられます。
確かに、システムのセキュリティがコードの機密性に大きく依存している場合、これはそれ自体が問題です。とにかく、コンパイルされたイメージから自動的にソースコードを生成するツールがあることを忘れないでください。また、マシンコードを記述できるのと同じくらい早く高レベル言語に逆コンパイルできる人もいます。
そのようなイベントで直面する主なリスクはビジネスリスクだと思います。会社はそのソースコードを競合他社よりも優位にする資産であると認識します。第二に、会社の評判に明らかにダメージがあります。それ自体のビジネスプロセスを保護することさえできないセキュリティ会社ですか?
はい、ソースにアクセスすることでより簡単に発見できる脆弱性もある可能性がありますが、基本的な被害は会社にあります。他の人が示したように、脆弱性を見つけることは善と悪の両方に使用できる力です。
ここで重要な点の1つは、ソースコードが「漏洩」しているからといって、それがフリー/オープンソースに匹敵することを意味するわけではありません。それが実際に漏えいした場合(つまり、違法に配布され、依然として特許、著作権、NDAなどでカバーされている場合)、それを監査するために善良な者にとって最高の疑いのある法的根拠があります。私の意見では、漏洩した場合、所有者/作成者は、少なくとも法的に、現在公開されているコードを監査する者を起訴/訴訟しないことに同意する必要があります。
私はシステム管理者/開発者であり、ほとんどがオープンソースを扱っており、実行するコードにかなりの時間を費やしています。ここで提起されているオープンソースの質問については、攻撃者がペンのテストとプロプライエタリソフトウェアの逆コンパイルで忙しいことは誰でも知っています。善良な人に見てもらうことも理にかなっています。私が望む以外の理由がない場合はeveryoneが脆弱性について(うまくいけば責任ある方法で)警告され、ベンダーが開示することを決定するまで攻撃者にそれを知らせます。