Zespół do spraw bezpieczeństwa open source

Często zakłada się, że oprogramowanie open source jest bezpieczniejsze niż oprogramowanie komercyjne. Każdy, kto używa takiego oprogramowania może sprawdzić oryginalny kod źródłowy i poszukać w nim luk, a nawet takie luki połatać. Przy oprogramowaniu komercyjnym zdani jesteśmy wyłącznie na dostawcę.

Jednak takie pojmowane bezpieczeństwa open source zakłada, że, po pierwsze, ktoś w rzeczywistości przegląda taki kod, po drugie, wykryje nieszczelności i opracuje odpowiednie łatki i, po trzecie, informacja o tych łatkach dotrze do szeroko rozumianego dystrybutora oprogramowania, który zastosuje je w dostarczanych produktach.

W tym celu w marcu br. powołano Open Source Computer Security Response Team o nazwie oCERT, który ma być ośrodkiem wymiany informacji bezpieczeństwa dla różnego rodzaju oprogramowania open source. Zgodnie z tradycją open source, oCERT za swoje usługi nie pobiera opłat. Koszty utrzymania pokrywane są przez różnych sponsorów (m.in. Google).

Zespół ma być miejscem wymiany informacji o wykrytych błędach i opracowanych łatkach oprogramowania open source oraz ma wspomagać zespoły projektowe oprogramowania open source w zakresie problematyki bezpieczeństwa.

Organizacja ma upoważnienie do używania znaku CERT (zastrzeżony przez Carnegie Mellon University Software Engineering Institute) aczkolwiek nie jest powiązana z Uniwersytetem ani też jego Centrum Koordynacyjnym CERT.


Zobacz również