web-dev-qa-db-fra.com

Code associé à la sécurité dans des projets open source?

J'ai récemment entendu dire que la majeure partie du PHP code est confidentielle, car si les attaquants connaissent votre structure de base de données ou la fonction de hachage utilisée pour chiffrer les mots de passe, il y a des chances plus élevées d'une violation.

Je me demandais si c'est le cas, alors qu'en est-il des projets open source où tout est large à l'air libre?

11
user10261

J'ai récemment entendu dire que la majeure partie du PHP code est confidentielle

Cela semble être incorrect. Au bail même, la plupart PHP est inconvuscée et lisible à toute personne qu'il est distribuée.

parce que si les attaquants connaissent votre structure de base de données ou la fonction de hachage utilisée pour chiffrer les mots de passe, il y a des chances plus élevées d'une violation.

Également incorrect. Ni la structure de la base de données Aucune fonction de hachage n'est critique dans l'architecture de la violation initiale. Ceux-ci pourraient être utiles après une violation, mais ce qui est important dans la génération de l'attaque initiale, c'est la connaissance d'une faille ou d'une vulnérabilité dans le code du site.

Avoir le code source peut être utile pour trouver des vulnérabilités de sécurité (cf.: Wordpress et joomla plugins), ce n'est pas vraiment nécessaire. En fait, la plupart des vulnérabilités intéressantes (Windows, Flash, Internet Explorer , Acrobat, etc.) se trouvent sans l'aide du code source.

Rendre votre projet Open Source rend le code plus facile pour les tiers d'audit (avec ou sans votre permission) qui devrait conduire à une découverte antérieure des bogues et des vulnérabilités, espérons-le, de les rendre plus rapides et plus faciles à poser.

En supposant que votre projet soit suffisamment populaire pour obtenir un montant raisonnable de scrutan, cela devrait signifier que votre projet est moins susceptible d'avoir d'importantes vulnérations de sécurité une fois la période de découverte et de vérification initiale. Il est difficile d'obtenir de bonnes données à ce sujet, mais certaines preuves suggèrent que les logiciels open-source populaires sont moins susceptibles de disposer de ces vulnérabilités "dormeur" qui y sont assis et actives mais non publiées depuis des décennies.

12
tylerl