open source и безопасность, выступление на экономическом форуме в СПБ

Уголок параноика - по долгу службы или по велению души. Всё страшное (и не очень) про компьютерную безопасность.
Ответить
БудДен
Сообщения: 2438
Зарегистрирован: 07.10.18 14:01

open source и безопасность, выступление на экономическом форуме в СПБ

Сообщение БудДен » 08.06.21 13:25

https://forumspb.com/programme/business ... mme/91475/

55.54, Юрий Максимов (ген.директор Positive Technologies)

1. open source - код открыт, проверить проще
2. кто пишет? в коммерческой компании есть процессы, SDL, а open source собирается по всему миру. Например, исследователи из Миннесоты смогли заложить уязвимости, чтобы доказать, что плохо контролируется.

И показали, что легко заложить бекдор в open source (в данном случае ядро линукс)

3. open source не является общим и не принадлежит миру, он принадлежит компаниям и у них есть свои интересы. Был пример, когда мейнтейнер линукс пытался не допустить в ядро код, зависимый от генератора случайных чисел конкретного процессора (в итоге, если процессор уязвим, то система в целом становилась бы уязвимой, т.к. предлагалось убрать другие источники случайности). Его прессовали. Было большой скандал.

4. open source - это не только код, но и инфраструктура. Была ситуация, когда российские компании теряли код, положенный в западную инфраструктуру, из-за санцкий

Нужно выстраивать кооперацию, сохраняя интересы и суверенитет каждого игрока.

5. open source - это не цель, а средство. Мы разговариваем об Open source в конкретной стране, России. Но для страны - у нас есть свои интересы. Хотим ли мы поставлять программистов open source всему миру? Нет. Мы хотим, чтобы наши компании использовали open source и быстрее развивались. Мы хотим стать владельцем продукта параллельно с его исходными владельцами. Для этого среди мейнтенеров должны быть граждане России, а не просто русскоязычные программисты, которые уехали. Потому что в Open Source нужно, чтобы ты закладывал то, что тебе нужно, и чтобы другие не закладывали то, что тебе не нужно.

Ответить