问“信任”第三方代码和服务的基础

EN

我最近受雇于一个使用第三方软件的组织。这是我们的思维过程。

• 人数是有力量的。第三方软件，即A)开放源码，B)有一个专门的、知识渊博的安全团队，C)有一个负责任的披露策略，D)被成千上万的客户广泛使用，这比我们组织所能推出的任何东西都要好。
• 做腿活是有力量的。我被分配到这个第三方软件的每个模块，在允许将它添加到我们的基础设施之前，我对它做了全面的审查。如果我们发现了漏洞，我们使用负责任的披露程序来使软件更好。
• 更新是有力量的。我们订阅了供应商警报，以确保如果其他人发现了什么，我们能够对事件作出反应，并保护我们的基础设施。

当然，这种办法也有缺点：

• 同构软件存在弱点。如果有一个大的漏洞出现，很有可能有人找到我们的网站，并试图一个点和射击攻击。
• 在数字方面存在弱点。我们做了一次全面的回顾，但是其他成千上万的人使用了吗？可能不会。
• 志愿工作存在弱点。如果发生了什么事，就没有供应商代表可以谈了。我们必须找出问题的答案，B)在我们被击中之前修复它。
• 质量控制薄弱。开源是关于社区贡献的。然而，人类的第一个定律是人类是愚蠢的，没有语言是愚蠢的证明。特别是PHP，这是软件所用的。

与所有安全策略一样，您必须意识到风险，并尽可能将风险降到最低。将风险降低到零的唯一方法是用烛光在蜡片上写字。