image

Kan open-source software een audit overleven?

donderdag 26 februari 2004, 10:43 door Redactie, 8 reacties

Volgens de open-source gemeenschap zorgen de duizenden ontwikkelaars en securityonderzoekers die de code van de verschillende open source programma's bekijken, dat deze programma's betrouwbaarder en een stuk veiliger zijn. Elke CIO of CFO die niet met deze methode bekend is, en die met een IT audit te maken krijgt, zal nu waarschijnlijk zijn hartaanval medicijnen zoeken. Deze columnist en auditor kijkt of open-source software een audit kan overleven. Hij voorspelt echter dat in de nabije toekomst een grote groep mensen die op open-source software vertrouwen zullen zien dat auditors grappig kunnen zijn, maar als het aankomt op open-source lekken, ze helemaal geen humor hebben.

Reacties (8)
26-02-2004, 11:27 door Anoniem
De source code van zowel linux als *BSD wordt vaak geaudit door
professionele beveiligingsbedrijven. Beetje achterhaalde vraag
lijkt mij.
26-02-2004, 13:04 door Anoniem
Door Anoniem
De source code van zowel linux als *BSD wordt vaak geaudit door
professionele beveiligingsbedrijven. Beetje achterhaalde vraag
lijkt mij.
Wat dacht je van OpenBSD, die auditten hun OS al jaaaaren en zelfs
meerdere keren.
26-02-2004, 14:10 door Anoniem
Het onderliggende artikel wel goed gelezen?
Daar gaat het helemaal niet om!
Het gaat erom dat ook niet gecertificeerde ontwikkelaars met hun
tengels aan de code kunnen zitten. Dat fenomeen op zich zal een
succesvolle audit bemoeilijken.

De commentaren op de column van Enderle zijn ook bij tijd en wijle
hilarisch te noemen.

Ik heb me in ieder geval kostelijk vermaakt. :)
26-02-2004, 15:00 door Anoniem
Zijn we al zover dat een succesvolle audit een doel op zich
is geworden? Ik bedoel, als aantoonbaar veilige code een
bepaalde audit-methode niet overleeft enkel en alleen omdat
het open source is, dan zijn we toch nog wel in staat om
voor onszelf te denken en te concluderen dat de methode dan
misschien niet klopt?

Laten we security-audits nou niet belangrijker maken dan dat
ze zijn, auditting is een net zo feilbaar proces als het
creeeren van de code zelf. Wat heb je liever, veilige code
of een mooi audit-rapport?

(En nu ik dit schrijf bedenk ik waar IT-managers meer waarde
aan hechten.... god beware ons...)
26-02-2004, 15:56 door Anoniem
Door Anoniem
Het onderliggende artikel wel goed gelezen?
Daar gaat het helemaal niet om!
Het gaat erom dat ook niet gecertificeerde ontwikkelaars met hun
tengels aan de code kunnen zitten. Dat fenomeen op zich zal een
succesvolle audit bemoeilijken.

De commentaren op de column van Enderle zijn ook bij tijd en wijle
hilarisch te noemen.

Ik heb me in ieder geval kostelijk vermaakt. :)
Dan heb jij zeker niet de discussies gelezen ? Daar wordt Enderle redelijk
genadeloos (onderbouwd) afgemaakt door meerde discussiegenoten. Het
onderwerp is dan ook wel erg "flame" gevoelig. Rob Enderle kijkt met
oogkleppen naar een auditting process en maakt daarbij de OSS
ontwikkelaars met de grond toe gelijk. Closedsource, volgens zijn opinie is
nagenoeg volmaakt.
Vreemde kijk op zaken heeft deze meneer....
26-02-2004, 17:06 door Anoniem
Door Anoniem
Door Anoniem
De source code van zowel linux als *BSD wordt vaak geaudit door
professionele beveiligingsbedrijven. Beetje achterhaalde vraag
lijkt mij.
Wat dacht je van OpenBSD, die auditten hun OS al jaaaaren en zelfs
meerdere keren.

Jullie begrijpen het niet.....
26-02-2004, 17:09 door Anoniem
Door Anoniem
Zijn we al zover dat een succesvolle audit een doel op zich
is geworden? Ik bedoel, als aantoonbaar veilige code een
bepaalde audit-methode niet overleeft enkel en alleen omdat
het open source is, dan zijn we toch nog wel in staat om
voor onszelf te denken en te concluderen dat de methode dan
misschien niet klopt?

Laten we security-audits nou niet belangrijker maken dan dat
ze zijn, auditting is een net zo feilbaar proces als het
creeeren van de code zelf. Wat heb je liever, veilige code
of een mooi audit-rapport?

(En nu ik dit schrijf bedenk ik waar IT-managers meer waarde
aan hechten.... god beware ons...)

Het gaat niet om hoe veilig de code is. Het gaat erom of het proces van het
schrijven van de code zodanig controleerbaar is opgezet dat het een bedrijf
een bedrijfsmatige audit kan overleven. Het heeft geen reet te maken met
hoe veilig de code zelf is.

Pfff. dombo's
26-02-2004, 17:10 door Anoniem
Door Anoniem
Door Anoniem
Het onderliggende artikel wel goed gelezen?
Daar gaat het helemaal niet om!
Het gaat erom dat ook niet gecertificeerde ontwikkelaars met hun
tengels aan de code kunnen zitten. Dat fenomeen op zich zal een
succesvolle audit bemoeilijken.

De commentaren op de column van Enderle zijn ook bij tijd en wijle
hilarisch te noemen.

Ik heb me in ieder geval kostelijk vermaakt. :)
Dan heb jij zeker niet de discussies gelezen ? Daar wordt Enderle redelijk
genadeloos (onderbouwd) afgemaakt door meerde discussiegenoten. Het
onderwerp is dan ook wel erg "flame" gevoelig. Rob Enderle kijkt met
oogkleppen naar een auditting process en maakt daarbij de OSS
ontwikkelaars met de grond toe gelijk. Closedsource, volgens zijn opinie is
nagenoeg volmaakt.
Vreemde kijk op zaken heeft deze meneer....

Ook hier geldt: het gaat niet of de code zelf veilig is, maar het gaat om de
controleerbaarjeid van het creatieproces. Dat is bij Open Source minder
controleerbaar dan bij Closed Source.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.