Павел Коростелев, компания «Код безопасности»: Все статьи автора
24 октября 2017, 12:32 181

Зачем раскрывать исходный код

Чтобы подтвердить прозрачность работы, «Лаборатория Касперского» в I квартале 2018 г. раскроет независимым экспертам код своих программных продуктов, сообщила компания. Они проверят целостность и надежность ее продуктов и бизнес-процессов, а также проанализируют исходный код обновлений и правил распознавания угроз, сообщают «Ведомости».

Павел Коростелев, компания «Код безопасности»:

В целом для компании, которая занимается разработкой средств защиты информации, вопрос открытия исходного кода достаточно непростой, потому что производитель, во-первых, ослабляет контроль над продуктом и дает возможность третьим лицам ознакомиться со своими ноу-хау, а во-вторых, повышается шанс обнаружения уязвимости, про которые вендор не узнает. А уязвимости в ИБ-решениях — это вещь очень опасная, потому что СЗИ, как правило, работают с повышенными привилегиями (имеют больше прав при работе на ПК) и могут быть использованы злоумышленником против пользователей с гораздо более разрушительным эффектом. В целом государства склонны не доверять иностранному ПО при использовании в своих критически важных системах, так как они могут считать, что в софте могут находиться закладки, которые могут в конечном итоге парализовать работу критически важной инфраструктуры государства. Это так называемые «недекларируемые возможности». Когда компании-разработчику необходимо выйти на достаточно закрытый рынок, например, российских госорганов, ей необходимо продемонстрировать исследователям, что недекларируемых возможностей их код не содержит. Тема свободного анализа кода, которую сейчас анонсировала «Лаборатория Касперского», больше характерна для сообщества открытого программного обеспечения — open source. Это является одним из преимуществ open source, когда код открыт всем, поэтому любой желающий может проверить его, и таким образом риск наличия ошибок/закладок в этих продуктах значительно сокращается. «Лаборатория Касперского» решилась на беспрецедентный шаг, она оказалась под сильным давлением со стороны властей США. И компания заявила, что готова предоставить для анализа независимым экспертам исходный код своих продуктов для того, чтобы показать, что в нем не содержится никаких бэкдоров. Это значительно повышает уровень доверия сообщества к продуктам. Инициатива компании является крайне интересной и очень показательной. И если на «Лабораторию Касперского» оказывается давление из-за того, что у руководства профильных агентств и других государственных ведомств Америки есть подозрение на наличие там недекларируемых возможностей, то эта мера может дать хороший эффект.

Новости партнеров
Реклама