Wie überprüfen Sie Ihre Open Source-Bibliotheken auf Keystroke-Logger?

Eine zufällige Person im Internet sagte mir, dass eine Technologie sicher (1), sicher zu verwenden und keine Keylogger enthielt, da es sich um Open Source handelt. Während ich den Key-Stroke-Logger in dieser Open-Source-Anwendung trivial erkennen kann , was können Entwickler (2) tun, um sich vor Rouge-Committern für Open-Source-Projekte zu schützen?

Wenn ich ein Schurkenentwickler wäre, würde ich einen Zweig auf Git aufteilen und für den Download werben, da er Twitter-Unterstützung (und einen geheimen Key-Stroke-Logger) hätte. Wenn es ein SVN-Repo wäre, würde ich einfach ein neues Projekt erstellen. Noch besser wäre es, den Schadcode in die automatischen Update-Routinen aufzunehmen.

(1) Ich werde nicht erwähnen, welche, weil ich immer nur mit einer Art von Eiferer gleichzeitig umgehen kann.

(2) Normale Benutzer sind ihrer Software zur Erkennung von Viren und Malware ausgeliefert. Es ist absurd zu erwarten, dass Oma die Codequelle des Quellcodes ihres Open-Source-Textverarbeitungsprogramms liest, um den Tastenanschlag-Logger zu finden.

Ich hatte kürzlich die Gelegenheit, eine Software-Sicherheitsanalyse für FileZilla, eMule und Shareaza durchzuführen. Ich habe den Code über cppcheck, RATS und ITS4 ausgeführt. Kein Tool kann erkennen, ob ein Code harmlos oder schädlich ist. Es erfordert eine Sichtprüfung - was ich auch getan habe. Ich habe zwei Wochen damit verbracht, jeden Quellcode Zeile für Zeile zu untersuchen. Ich habe wahrscheinlich etwas verpasst. Deshalb wurde meine Arbeit von einer anderen Person unterstützt, die das Gleiche oder mehr fand als ich. Beispielsweise verwendet FileZilla ein PHP-Skript, um Ihre externe IP-Adresse im PASV-Modus zu ermitteln. Was macht das PHP-Skript? Wer weiß das schon? Ich sehe Ihren Standpunkt und Ihren Standpunkt gut aufgenommen. Abhängig von Ihrer Strategie sollten Sie eine Risikominderungsstrategie verfolgen und die Quelle selbst untersuchen oder externe Berater einstellen. Auf diese Weise stellen Sie sicher, dass die Software sicher ist.

Dies fällt in die Kategorie "Vertrauen, Open Source". Wenn sich genügend Leute den Code eines Projekts ansehen, ist es unwahrscheinlich, dass irgendjemand etwas Schändliches übersehen kann. Schauen Sie sich auch den Ruf der Partei an, die das Projekt unterstützt. Ist es J. Random Coder oder Apache Software Foundation? Je kleiner die Codebasis ist, desto schwieriger ist es natürlich, etwas einzulegen. Und hängt das Open Source-Projekt von externen Bibliotheken ab, die nicht Open Source sind? Wenn ein Projekt ein benutzerdefinierter Zweig eines obskuren Projekts ist, das auf einer unbekannten Website gehostet wird ... na ja.

Außerdem würde ich mich nicht speziell um Keylogger kümmern, sondern um mehr Sicherheit im Allgemeinen. Dies schließt versehentliche Sicherheitsverletzungen ein, die bei kleinen Projekten weitaus häufiger auftreten. Hintertüren, schlecht implementierte Privatsphäre und der erforderliche Zugriff auf das System sind alles Risiken, die wahrscheinlicher sind als ein absichtlicher Keylogger.

Entwickler können verhindern, dass betrügerische Committer ihre Open-Source-Projekte bearbeiten, indem sie nicht jedem und ihren Pinguinen Commit-Privilegien gewähren. Das Unterscheidungsprinzip von Freier Software / Open Source ist nicht, dass die Entwicklung Crowd-Sourcing-fähig ist (obwohl dies möglich ist), sondern dass es möglich ist, Projekte zu forken.

Leute, die Software herunterladen, müssen ein wenig Sorgfalt walten lassen, und das gilt für F / OSS genauso wie für proprietäre / Closed-Source-Software. Software, die Sie von einer seriösen Quelle erhalten, ist normalerweise gut (in beiden Fällen). Software von einem Fly-by-Night hat eher Malware.

Es ist nicht so, dass jemand Zugriff auf ein Open Source-Projekt hat. Und selbst wenn jemand bösartigen Code begeht, kann dieser entdeckt werden, da die Quelle öffentlich ist. Wenn Sie den Managern des Projekts nicht vertrauen, können Sie jederzeit jemanden wie 0A0D einstellen, der den Code für Sie überprüft. Es ist nicht perfekt, aber es ist besser als die Alternative;

Für ein Closed-Source-Projekt müssen Sie nur dem Lieferanten vertrauen. Woher wissen Sie, dass Closed-Source-Software keine Hintertüren enthält? Das tust du nicht. Schädlicher Code kann von einem verärgerten Mitarbeiter hinzugefügt worden sein, der nach einer Möglichkeit sucht, Geld zu verdienen, einem bösen Hausmeister, der zufällig Zugriff auf das Repository des Unternehmens hatte ... In Closed-Source-Software gibt es keine Möglichkeit, dies zu wissen.