Kan open-source software een audit overleven?
Volgens de open-source gemeenschap zorgen de duizenden ontwikkelaars en securityonderzoekers die de code van de verschillende open source programma's bekijken, dat deze programma's betrouwbaarder en een stuk veiliger zijn. Elke CIO of CFO die niet met deze methode bekend is, en die met een IT audit te maken krijgt, zal nu waarschijnlijk zijn hartaanval medicijnen zoeken. Deze columnist en auditor kijkt of open-source software een audit kan overleven. Hij voorspelt echter dat in de nabije toekomst een grote groep mensen die op open-source software vertrouwen zullen zien dat auditors grappig kunnen zijn, maar als het aankomt op open-source lekken, ze helemaal geen humor hebben.
professionele beveiligingsbedrijven. Beetje achterhaalde vraag
lijkt mij.
De source code van zowel linux als *BSD wordt vaak geaudit door
professionele beveiligingsbedrijven. Beetje achterhaalde vraag
lijkt mij.
meerdere keren.
Daar gaat het helemaal niet om!
Het gaat erom dat ook niet gecertificeerde ontwikkelaars met hun
tengels aan de code kunnen zitten. Dat fenomeen op zich zal een
succesvolle audit bemoeilijken.
De commentaren op de column van Enderle zijn ook bij tijd en wijle
hilarisch te noemen.
Ik heb me in ieder geval kostelijk vermaakt. :)
is geworden? Ik bedoel, als aantoonbaar veilige code een
bepaalde audit-methode niet overleeft enkel en alleen omdat
het open source is, dan zijn we toch nog wel in staat om
voor onszelf te denken en te concluderen dat de methode dan
misschien niet klopt?
Laten we security-audits nou niet belangrijker maken dan dat
ze zijn, auditting is een net zo feilbaar proces als het
creeeren van de code zelf. Wat heb je liever, veilige code
of een mooi audit-rapport?
(En nu ik dit schrijf bedenk ik waar IT-managers meer waarde
aan hechten.... god beware ons...)
Het onderliggende artikel wel goed gelezen?
Daar gaat het helemaal niet om!
Het gaat erom dat ook niet gecertificeerde ontwikkelaars met hun
tengels aan de code kunnen zitten. Dat fenomeen op zich zal een
succesvolle audit bemoeilijken.
De commentaren op de column van Enderle zijn ook bij tijd en wijle
hilarisch te noemen.
Ik heb me in ieder geval kostelijk vermaakt. :)
genadeloos (onderbouwd) afgemaakt door meerde discussiegenoten. Het
onderwerp is dan ook wel erg "flame" gevoelig. Rob Enderle kijkt met
oogkleppen naar een auditting process en maakt daarbij de OSS
ontwikkelaars met de grond toe gelijk. Closedsource, volgens zijn opinie is
nagenoeg volmaakt.
Vreemde kijk op zaken heeft deze meneer....
De source code van zowel linux als *BSD wordt vaak geaudit door
professionele beveiligingsbedrijven. Beetje achterhaalde vraag
lijkt mij.
meerdere keren.
Jullie begrijpen het niet.....
Zijn we al zover dat een succesvolle audit een doel op zich
is geworden? Ik bedoel, als aantoonbaar veilige code een
bepaalde audit-methode niet overleeft enkel en alleen omdat
het open source is, dan zijn we toch nog wel in staat om
voor onszelf te denken en te concluderen dat de methode dan
misschien niet klopt?
Laten we security-audits nou niet belangrijker maken dan dat
ze zijn, auditting is een net zo feilbaar proces als het
creeeren van de code zelf. Wat heb je liever, veilige code
of een mooi audit-rapport?
(En nu ik dit schrijf bedenk ik waar IT-managers meer waarde
aan hechten.... god beware ons...)
Het gaat niet om hoe veilig de code is. Het gaat erom of het proces van het
schrijven van de code zodanig controleerbaar is opgezet dat het een bedrijf
een bedrijfsmatige audit kan overleven. Het heeft geen reet te maken met
hoe veilig de code zelf is.
Pfff. dombo's
Het onderliggende artikel wel goed gelezen?
Daar gaat het helemaal niet om!
Het gaat erom dat ook niet gecertificeerde ontwikkelaars met hun
tengels aan de code kunnen zitten. Dat fenomeen op zich zal een
succesvolle audit bemoeilijken.
De commentaren op de column van Enderle zijn ook bij tijd en wijle
hilarisch te noemen.
Ik heb me in ieder geval kostelijk vermaakt. :)
genadeloos (onderbouwd) afgemaakt door meerde discussiegenoten. Het
onderwerp is dan ook wel erg "flame" gevoelig. Rob Enderle kijkt met
oogkleppen naar een auditting process en maakt daarbij de OSS
ontwikkelaars met de grond toe gelijk. Closedsource, volgens zijn opinie is
nagenoeg volmaakt.
Vreemde kijk op zaken heeft deze meneer....
Ook hier geldt: het gaat niet of de code zelf veilig is, maar het gaat om de
controleerbaarjeid van het creatieproces. Dat is bij Open Source minder
controleerbaar dan bij Closed Source.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
