網路安全-企業禁用Open Source 軟體的合理性

網路安全-企業禁用Open Source 軟體的合理性

就我個人所知 , 某些企業內部所謂的 rm單位的某些人士 ,(IRM 或是 ORM)
為了要表現自己真的很專業 , 在審查你的軟體系統時 , 或是針對公司的相關軟體政策 ,
都會把 Open Source 的軟體或是相關套件列為 "禁止使用"
不然就是說 , "不然你開出個證明 , 證明這個軟體或是套件是安全的"


實際上 , 這些人根本就是在裝懂 ,
首先, 你買微軟或是IBM 或是 Oracle的軟體進來的時候 ,
你是否有要求 微軟或是IBM 或是 Oracle 針對他們的軟體開具證明 , 去證明軟體或是套件經過測試是安全的?
那一家公司或是企業有要求出具證明的 , 可以出個聲...

第二個 , 你去哪裡要求提供Open Source 的組織或是單位為你開具證明?

或者是有的企業或是公司政策乾脆明定禁止使用 Open Source (軟體? / 套件?)

基本上 , 如果我是稽核人員 , 看到這種政策 , 然後那家公司如果又是使用 Java導向的 ,
我就直接給他記缺失....

因為政策太白痴 ...會這樣訂的 , 保證是完全不懂的人在裝懂....
這麼說好了 , 很多 Java程式都會使用的 log4j , hibernate , jdom ,dom4j 之類的套件 ,
根本就是 Open Source , 但是公司的政策又規範說 , 禁用 Open Source ,
那你說 , 這樣是不是違反政策 , 是不是就是缺失....

所以說會定這種白痴政策的人 , 你能說他不是在裝懂?
假裝好像很懂資訊安全 , 定了一大堆 , 就是公司擺明一定會違反的政策
你說他不懂 , 他又訂的頭頭是道 ,
你說他真懂 , 怎會訂出擺明就過不了的政策

這種人 , 我碰到過 , 真的你要他說出個五四三 , 他會說的天花亂墜 ,
但是明明這種訂法 , 就是亂來 , 公司擺明了百分之百會違反政策 , 他還是在亂訂....
偏偏又是這種人在導 ISO , 擺明了 , 這種人一導入ISO , 就會讓公司記缺失...還導個屁....




我說得是不是真的?
有興趣的人 , 回去翻翻你們自家公司的 ISO政策或是資訊安全相關文件
是否有禁用 Open Source 這一條要求 ,
有的話 , 再看看 , 你們公司是否是使用 Java相關平台在開發系統的 ,
是的話 ,
直接問 , 使用 Java 系統中幾乎一定會使用的 log4j 是否就會讓你的系統跟公司根本性的違反政策 ,
(一般來說 , 要使用違反政策的軟體或是套件 , 必須要有豁免程序 , 就是公司的某單位要提出申請 , 然後安控單位及相關主管要審查 , 然後出具證明 , 表示公司的安控單位同意此項違反公司政策的要求等等)

這時候 , 你就可以去看看 , 系統中使用的 log4j 是否有經過公司的豁免程序同意使用(有無豁免證明)
如果沒有 , 那就是缺失....


(log4j 的使用 , 在Java 平台上 , 幾乎就是常識性的使用 ,
Java開發人員沒人會特別針對這一點去提出疑問 ,

但是 , 對不起 ,
公司某些制定 SDLC , 安控政策的 , 是完全不會寫程式的人在制定 , 訂的頭頭是道 , 執行處理問題重重)


會拿 log4j 出來當樣板 , 只是為了要突顯 ,
很多公司或企業的安控政策對於Open Source 另眼看待或是要求的不合理狀況
(你用了 log4j(Open Source) , 怎麼沒有出具證明 , 證明 log4j 是安全的 ,
Open Source 你找誰去出具證明的? ,
你用微軟的軟體 , 就不用要求微軟出具證明 , 證明他們家的軟體是安全的 , 沒有漏洞的
)


如果有碰到 , 公司內部安控單位的人員 , 拿著禁用 Open Source的政策當作令箭的 ,
請拿 log4j 打的他滿地找牙.....
(看看安控單位的人員如何不懂裝懂的自圓其說...還蠻有趣的 ,
不過最後的結果大部分就是 , 他可以跟你廢話個 2 萬字 , 但是怎麼把問題處理掉 , 他絕對說不出來...只是繞著問題打轉)

這是先前碰到公司內部的所謂安控人員 , 針對系統的要求 , 特別讓我感冒的問題....
(我不認為 Open Source 是 100%安全的 , 但是我並不認可的是 那種完全不懂就裝懂的要求政策)

~備份複製~從奇摩我的部落格~