• Открытый исходный код. Является ли данный продукт продуктом с открытым исходным кодом? В двух словах, дебаты об открытом исходном коде сводятся к следующему: если исходный код доступен, злоумышленники могут найти уязвимости и воспользоваться ими, но, с другой стороны, он постоянно проверяется многими людьми, проблемы находятся быстрее, патчи появляются раньше и вы всегда можете сами изменить его, если это необходимо. Безопасность закрытого исходного кода за счет его неизвестности сомнительна: это лишь кажется, что сохранение метода в тайне делает его безопасным, даже когда он принципиально небезопасен. Безопасность за счет неизвестности не работает, злоумышленники находят уязвимости в любом случае. • Простота использования. Легко ли понять и проверить конфигурацию? Насколько легко случайно настроить приложение так, что оно станет небезопасным? Как взаимодействуют компоненты? Как изменение конфигурации в одной области влияет на другие области. Например, если в межсетевом экране, который имеет и прокси, и фильтры пакетов, отдельные правила конфигурации пытаются управлять чем-то как на сетевом уровне (фильтр пакетов), так и на уровне приложения (прокси), правила какого уровня применяются первыми и к чему это приведет? Обнаруживает ли приложение конфликты конфигурации? Сколько времени занимает обучение новых сотрудников работе с продуктом? • Функциональность. Продукт должен предоставлять только те функции, которые вам нужны. Избыточная функциональность может быть источником проблем, особенно если ее нельзя отключить.
• Связь с поставщиком. Для продукта, чувствительного к безопасности, очень важны патчи и обновления. В большинстве случаев вам также потребуется возможность сообщать о проблемах поставщику и иметь все основания ожидать быстрого устранения или временного решения проблемы. Если у поставщика есть бесплатная версия коммерческого продукта, то вы, скорее всего, получите лучшее обслуживание при пользовании коммерческой версией. Насколько поставщик уделяет внимание безопасности? Выпускает ли он патчи для устранения проблем его продуктов с безопасностью? Каков его механизм уведомления пользователей о проблемах безопасности?
Опубликовал Kest
February 29 2012 14:59:57 ·
0 Комментариев ·
3947 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.