Làm thế nào để bạn đi về việc kiểm tra các thư viện nguồn mở của bạn cho các logger gõ phím?

Một người ngẫu nhiên trên internet nói với tôi rằng công nghệ này an toàn (1), an toàn khi sử dụng và không chứa keylogger vì đây là nguồn mở. Trong khi tôi có thể phát hiện một cách tầm thường bộ ghi nhật ký đột quỵ chính trong ứng dụng nguồn mở này , các nhà phát triển (2) có thể làm gì để tự bảo vệ mình trước các ủy viên hội đồng cho các dự án nguồn mở?

Thực hiện phân tích mối đe dọa phong bì, nếu tôi là một nhà phát triển giả mạo, tôi sẽ rẽ nhánh trên git và quảng bá tải xuống vì nó sẽ hỗ trợ twitter (và một trình ghi nhật ký khóa bí mật). Nếu đó là một repo SVN, tôi sẽ tạo chỉ cần tạo một dự án mới. Thậm chí tốt hơn là đặt mã độc trong thói quen cập nhật tự động.

(1) Tôi sẽ đề cập đến điều đó bởi vì tôi chỉ có thể đối phó với một loại nhiệt tâm tại một thời điểm.

(2) Người dùng thông thường rất tự hào về phần mềm phát hiện phần mềm độc hại và vi-rút của họ - thật phi lý khi mong bà đọc đọc mã nguồn của mã nguồn của trình xử lý từ nguồn mở của họ để tìm bộ ghi chép gõ phím.

Gần đây tôi đã có cơ hội thực hiện phân tích bảo mật phần mềm trên FileZilla, eMule và Shareaza. Tôi đã chạy mã thông qua cppcheck, RATS và ITS4. Không có công cụ nào có thể nhận ra liệu một đoạn mã là lành tính hay có hại. Nó đòi hỏi kiểm tra trực quan - đó là những gì tôi đã làm. Tôi đã dành hai tuần để kiểm tra từng dòng từng đoạn mã nguồn. Tôi có lẽ đã bỏ lỡ một cái gì đó. Đó là lý do tại sao công việc của tôi được hỗ trợ bởi một người khác cũng tìm thấy tương tự hoặc nhiều hơn tôi. Chẳng hạn, FileZilla sử dụng tập lệnh PHP để xác định địa chỉ IP bên ngoài của bạn khi ở chế độ PASV. Kịch bản PHP đó làm gì? Ai thực sự biết? Tôi thấy quan điểm và quan điểm của bạn cũng được thực hiện. Tùy thuộc vào chiến lược của bạn, bạn nên thực hiện chiến lược giảm thiểu rủi ro và tự kiểm tra nguồn hoặc thuê chuyên gia tư vấn bên ngoài. Bằng cách đó bạn sẽ đảm bảo rằng phần mềm được an toàn.

Điều này rơi vào danh mục "tin tưởng nó, nguồn mở của nó". Nếu đủ người đang nhìn vào mã của một dự án, không ai có thể trượt bất cứ thứ gì bất chính bằng. Ngoài ra, hãy nhìn vào danh tiếng của bên đang ủng hộ dự án. Có phải J. Bộ giải mã ngẫu nhiên hay Quỹ phần mềm Apache? Rõ ràng là cơ sở mã càng nhỏ thì càng khó để trượt bất cứ thứ gì vào. Và dự án nguồn mở có phụ thuộc vào bất kỳ thư viện bên ngoài nào không phải là nguồn mở không? Nếu một dự án là một nhánh tùy chỉnh của một dự án tối nghĩa được lưu trữ trên một trang web không xác định ... tốt.

Ngoài ra, tôi sẽ không lo lắng cụ thể về keylogger, nhưng nói chung bảo mật hơn. Điều này bao gồm các vi phạm an ninh tình cờ, rất có thể xảy ra trong một dự án nhỏ. Backreen, quyền riêng tư được triển khai kém và quyền truy cập cần thiết vào hệ thống là tất cả các rủi ro có nhiều khả năng hơn một keylogger có chủ ý.

Các nhà phát triển có thể ngăn chặn các ủy viên lừa đảo đối với các dự án nguồn mở của họ bằng cách không cho mọi người và chim cánh cụt của họ cam kết đặc quyền. Nguyên tắc phân biệt của Phần mềm miễn phí / Nguồn mở không phải là sự phát triển có nguồn gốc đám đông (mặc dù có thể) mà là có thể phân nhánh các dự án.

Mọi người tải xuống phần mềm cần thực hiện một chút cẩn thận và điều đó cũng đúng với F / OSS như đối với phần mềm độc quyền / nguồn đóng. Phần mềm bạn nhận được từ một nguồn có uy tín thường là tốt (trong cả hai trường hợp); phần mềm từ một đêm có nhiều khả năng có phần mềm độc hại.

Nó không giống như bất cứ ai có quyền truy cập vào bất kỳ dự án nguồn mở nào. Và ngay cả khi ai đó phạm phải mã độc, nó vẫn có thể bị phát hiện vì nguồn này là công khai. Nếu bạn không tin tưởng những người quản lý dự án, bạn luôn có thể thuê một người như 0A0D để kiểm tra mã cho bạn. Nó không hoàn hảo, nhưng nó tốt hơn so với giải pháp thay thế;

Đối với một dự án nguồn đóng, bạn chỉ cần tin tưởng vào nhà cung cấp. Làm thế nào để bạn biết rằng không có backtime trong phần mềm nguồn đóng? Bạn không. Mã độc hại có thể được thêm vào bởi một nhân viên bất mãn, một người đang tìm cách kiếm tiền, một người gác cổng độc ác tình cờ có quyền truy cập vào kho lưu trữ của công ty ... Trong phần mềm nguồn đóng, không có cách nào để biết.