Brussels centrum laat overheid broncode Microsoft controleren
Microsoft heeft vandaag in Brussel een 'transparantiecentrum' geopend waar overheidsinstanties de broncode van de softwaregigant op de aanwezigheid van backdoors kunnen controleren. Eerder werd een soortgelijk centrum al in Remond geopend. Naast het controleren van de code van Microsoftproducten geeft het transparantiecentrum deelnemers ook toegang tot technische informatie over de producten en diensten van de softwaregigant, alsmede informatie over cyberdreigingen en beveiligingslekken.
"Het is onze hoop dat door het Government Security Programma en dit nieuwste transparantiecentrum, we de communicatie en samenwerking tussen Microsoft securityprofessionals en overheidsinstanties kunnen versterken om een veilige en betrouwbare digitale omgeving voor de Europese markt te ontwikkelen", aldus Microsoft.
Via het Government Security Programma konden overheidsinstanties al toegang tot de broncode van Microsoftproducten krijgen. Het ging hier echter alleen om een "read-only" versie, zo liet Microsofts Matt Thomlinson eerder dit jaar tijdens de ONE Conferentie van het Nationaal Cyber Security Center (NCSC) in Den Haag weten. In het transparantiecentrum kunnen overheden de broncode ook compileren en via hun eigen tools testen.
Precies hetzelfde met je linux vriend.
Top van MS weer!
Precies hetzelfde met je linux vriend.
Top van MS weer!
Leuk geprobeerd, maar er wordt in de Linux wereld daadwerkelijk iets gedaan om dit verifieerbaar te maken. Zie bijvoorbeeld het reproducible builds initiatief van Debian, waarmee bitwise identieke kopieen kunnen worden afgeleid van dezelfde broncode: https://wiki.debian.org/ReproducibleBuilds/About
Hierdoor wordt het mogelijk om a) onafhankelijk te verifieren dat de binary correspondeert met de broncode en b) te detecteren wanneer een van de machines in je build farm gecompromitteerd wordt.
Bij Linux heb je de mogelijkheid om niet alleen je eigen tools op de broncode los te laten maar om daadwerkelijk alles wat je gebruikt zelf te compileren. Dat doet natuurlijk lang niet iedereen, maar als je dat nodig vindt kan het wel degelijk. Dat gaat verder dan wat Microsoft biedt.
Todat de source van Windows 8 online staat heb je dus geen garantie.
Precies hetzelfde met je linux vriend.
Top van MS weer!
Precies hetzelfde met je linux vriend.
Top van MS weer!
Leuk geprobeerd, maar er wordt in de Linux wereld daadwerkelijk iets gedaan om dit verifieerbaar te maken. Zie bijvoorbeeld het reproducible builds initiatief van Debian, waarmee bitwise identieke kopieen kunnen worden afgeleid van dezelfde broncode: https://wiki.debian.org/ReproducibleBuilds/About
Hierdoor wordt het mogelijk om a) onafhankelijk te verifieren dat de binary correspondeert met de broncode en b) te detecteren wanneer een van de machines in je build farm gecompromitteerd wordt.
Nice try as well! :)
De broncode kan misschien openbaar zijn en controleerbaar, maar ik zie het niet gebeuren door een random individueel.
En natuurlijk, als het geschreven staat moet het waar zijn.
Wel weer opmerkelijk dat 1 trapje tegen dit een heleboel linux response teweeg brengt.
Linux is niet perfect mensen, accepteer het nou eens.
En zeek Linus niet zelf de kernel af vanwege bulky onnodige meuk er in?
Ja... controleerbaar zei je?
De broncode kan misschien openbaar zijn en controleerbaar, maar ik zie het niet gebeuren door een random individueel.
Het fijne is dat niet een random individueel dat hoeft te doen. Er zijn een heleboel mensen die het wel doen en die gaan heus wel stenis maken als een van de distibuties vreemde zaken uithaalt met hun gevcompileerde versie.
En als jij denkt dat een overheid stenis gaat maken als ze een backdoor in Windows ontdekken? Ze vragen gewoon toegang tot die backdoor en iedereen slaapt weer rustig verder.
Juist omdat er ergens iemand schrijft dat linux niet zo onbetrouwbaar is, moet er op gereageerd worden. Om te voorkomen dat het als FUD verspreid wordt. Zolang dat niet bestreden wordt, van wie het ook komt, gaat het een eigen leven leiden en krijg je het nooit meer weg.
Zie de 640k opmerking van Bill Gates.
Dat heeft hij nooit beweerd, maar omdat niemand het de eerste keren heeft tegengesproken, blijft het idee leven.
Peter
Precies hetzelfde met je linux vriend.
Top van MS weer!
Ten eerste kun je en mag je de code van open source programma's als Linux zelf compileren tot een uitvoerbaar bestand en ten tweede, ook niet onbelangrijk, steekt het aantal ogen dat (delen van) de code van Microsoft mag schouwen gezien de exclusiviteit (non-disclusure) nogal schril af bij het brede, veelal academische, publiek dat bijvoorbeeld interesse toont in de Linux kernel.
Dit betekent niet persé dat Microsoft geen goede code kan maken. Wel dat zij in een minder goede uitgangspositie verkeren om deugdelijke produkten af te leveren, om niet te spreken over de nadelen die allerlei anti-features als activering van licenties met zich meebrengen (extra code, extra kwetsbaarheden).
Hoe dan ook, vooralsnog lijken echte garanties een illusie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
