این ارائه در همایش نرم افزار های آزاد/متن باز که در 17 مهر 94 در اصفهان برگزار انجام شد. http://fosscon.iut.ac.ir/

1. ‫خدا‬ ‫بنام‬
‫آزاد‬ ‫افزارهای‬ ‫نرم‬ ‫گردهمایی‬ ‫اولین‬/‫باز‬ ‫متن‬
‫افزار‬ ‫نرم‬ ‫آزادی‬ ‫روز‬ ‫بزرگداشت‬ ‫و‬
‫مهرماه‬94

2. ‫باز‬ ‫متن‬ ‫افزارهای‬ ‫نرم‬ ‫از‬ ‫استفاده‬ ‫امنیت‬
‫کالن‬ ‫نیازهای‬ ‫در‬
‫یزدانی‬ ‫علی‬

3. ‫مقدمه‬
‫بزرگترین‬ ‫امنیت؛‬‫کامپیوتری‬ ‫های‬ ‫شبکه‬ ‫مدیران‬ ‫روی‬ ‫پیش‬ ‫چالش‬
‫گوناگون‬ ‫سطوح‬ ‫در‬ ‫سازی‬ ‫پیاده‬
‫مدیریتی‬ ‫های‬ ‫سیاست‬ ‫و‬ ‫استفاده‬ ‫مورد‬ ‫افزارهای‬ ‫نرم‬ ‫به‬ ‫وابستگی‬

4. ‫مقدمه‬
‫باز‬ ‫متن‬ ‫اجتماعات‬ ‫رشد‬ ‫نتیجه‬ ‫در‬ ‫و‬ ‫اینترنت‬ ‫سریع‬ ‫رشد‬
‫و‬ ‫باز‬ ‫متن‬ ‫از‬ ‫استفاده‬ ‫و‬ ‫کالن‬ ‫های‬ ‫نیاز‬‫آنها‬ ‫امنیت‬
‫ریسک‬ ‫کاهش‬ ‫راهکارهای‬ ‫و‬ ‫باز‬ ‫متن‬ ‫افزارهای‬ ‫نرم‬ ‫به‬ ‫وابسته‬ ‫های‬ ‫ریسک‬

5. ‫باز‬ ‫متن‬ ‫افزار‬ ‫نرم‬
Open Source‫و‬Open Source Software
‫باز‬ ‫متن‬ ‫افزار‬ ‫نرم‬ ‫از‬ ‫استفاده‬ ‫مزایای‬:
•‫کننده‬ ‫تولید‬ ‫از‬ ‫استقالل‬
•‫راهکار‬ ‫طراحی‬ ‫های‬ ‫هزینه‬ ‫کاهش‬
•‫ها‬ ‫نیاز‬ ‫با‬ ‫کردن‬ ‫سازگار‬ ‫در‬ ‫انعطاف‬
•‫نهان‬ ‫های‬ ‫پذیری‬ ‫آسیب‬ ‫و‬ ‫ها‬ ‫باگ‬ ‫رفع‬ ‫و‬ ‫بازبینی‬(‫بالقوه‬)‫برداری‬ ‫بهره‬ ‫از‬ ‫قبل‬

6. ‫باز‬ ‫متن‬ ‫افزارهای‬ ‫نرم‬ ‫در‬ ‫امنیت‬
‫افزار‬ ‫نرم‬ ‫توسعه‬ ‫ناپذیر‬ ‫جدایی‬ ‫جز‬ ‫و‬ ‫مهم‬ ‫ای‬ ‫مقوله‬ ‫امنیت‬
‫افزار‬ ‫نرم‬ ‫به‬ ‫اعتماد‬ ‫قابلیت‬
‫افزار‬ ‫نرم‬ ‫توسعه‬ ‫ی‬ ‫چرخه‬

7. ‫باز‬ ‫متن‬ ‫افزارهای‬ ‫نرم‬ ‫در‬ ‫امنیت‬
‫تواند‬ ‫می‬ ‫هرکسی‬(‫اعتماد‬ ‫قابلیت‬ ‫و‬ ‫کیفیت‬)
‫جهان‬ ‫سراسر‬ ‫از‬ ‫کارشناسان‬ ‫و‬ ‫کاربران‬
‫آن‬ ‫رفع‬ ً‫ا‬‫سریع‬ ،‫باگ‬ ‫کشف‬

8. ‫ریسک‬‫متن‬ ‫افزارهای‬ ‫نرم‬ ‫از‬ ‫استفاده‬‫باز‬

9. 1-‫دقیق‬ ‫ارزیابی‬ ‫و‬ ‫بازبینی‬ ‫نبود‬
‫افزار‬ ‫نرم‬ ‫از‬ ‫استفاده‬ ‫در‬ ‫رسمی‬ ‫برداری‬ ‫بهره‬Close Source
‫نیازها‬ ‫ارزیابی‬ ‫و‬ ‫شناسایی‬
‫قبول‬ ‫قابل‬ ‫معیارهای‬ ‫تعریف‬
‫محصوالت‬ ‫ارزیابی‬
‫دیگر‬ ‫هم‬ ‫با‬ ‫رقابت‬ ‫قابل‬ ‫راهکارهای‬ ‫و‬ ‫محصوالت‬ ‫ی‬ ‫مقایسه‬(‫ها‬ ‫ویژگی‬ ‫و‬ ‫امنیت‬)
‫در‬Open Source‫باال‬ ‫موارد‬ ‫درگیر‬‫نیستیم‬!!!
‫مجوز‬ ‫بدون‬ ‫نصب‬

10. 2-‫جعلی‬ ‫بازهای‬ ‫متن‬
‫هستند‬ ‫همگان‬ ‫اختیار‬ ‫در‬( .‫انگیز‬ ‫وسوسه‬ ‫های‬ ‫جنبه‬ ، ‫مخرب‬ ‫کد‬ ‫تزریق‬)
‫معتبر‬ ‫غیر‬ ‫منبع‬ ‫از‬ ‫دریافت‬ ،‫روشن‬ ‫سیاست‬ ‫نبود‬ ،‫سازمان‬
‫فرضی‬ ‫مثال‬ ‫یه‬

11. 3-‫حمایت‬ ‫عدم‬
‫دهندگان‬ ‫توسعه‬ ‫و‬ ‫کنندگان‬ ‫استفاده‬ ‫ی‬ ‫جامعه‬ ‫توسط‬ ‫نگهداری‬

12. ‫راهکارهای‬‫متن‬ ‫افزارهای‬ ‫نرم‬ ‫از‬ ‫استفاده‬‫باز‬

13. ‫امنیتی‬ ‫های‬ ‫سیاست‬
‫های‬ ‫محیط‬ ‫در‬ ‫اصل‬ ‫مهمترین‬ ‫و‬ ‫اولین‬Enterprise
‫داری‬ ‫نگه‬ ‫و‬ ‫نصب‬ ‫مورد‬ ‫در‬ ‫واضح‬ ‫قوانینی‬ ‫و‬ ‫راهنما‬
‫خوب‬ ‫قانون‬

14. ‫ارزیابی‬
‫محیط‬ ‫کامل‬ ‫ارزیابی‬
‫اطالعات‬ ‫کسب‬ ‫جهت‬ ‫معتبر‬ ‫منابع‬
‫سایت‬ ‫تا‬ ‫سایت‬ ‫از‬ ‫و‬ ‫سازمان‬ ‫تا‬ ‫سازمان‬ ‫از‬ ‫امنیتی‬ ‫سطوح‬

15. ‫ارزیابی‬.
ISO 15408 (CC)-‫محصوالت‬ ‫امنیت‬ ‫و‬ ‫ضمانت‬ ‫ارزیابی‬IT
‫مثل‬ ‫هایی‬ ‫آزمایش‬:
o‫توسعه‬ ‫های‬ ‫محیط‬
o‫کارآیی‬
o‫امنیت‬
o‫مستندات‬
‫تایید‬ ‫اخذ‬ ‫صورت‬ ‫در‬CC–target security‫گیرد‬ ‫می‬ ‫قرار‬ ‫دسترس‬ ‫در‬.

16. ‫ارزیابی‬..
‫تایید‬ ‫محصول‬ ‫اگر‬CC‫ندارد‬–‫محور‬ ‫کاربر‬ ‫تست‬
‫کاربر‬ ‫اهداف‬ ‫و‬ ‫محیط‬ ‫امنیت‬ ‫بررسی‬
‫کارایی‬ ‫و‬ ‫نیازها‬ ‫تامین‬ ‫کننده‬ ‫تصدیق‬
‫ای‬ ‫شبکه‬ ‫برون‬ ‫و‬ ‫درون‬ ‫حمالت‬

17. ‫ارزیابی‬...
‫نیست‬ ‫ارزش‬ ‫بی‬ ‫ارزیابی‬ ‫برای‬ ‫وقت‬ ‫و‬ ‫هزینه‬ ‫صرف‬.
‫کنید‬ ‫استفاده‬ ‫امن‬ ‫تنظیمات‬ ‫از‬ ‫و‬ ‫کنید‬ ‫مراجعه‬ ‫محصول‬ ‫اسناد‬ ‫به‬.
‫شود‬ ‫بررسی‬ ‫ها‬ ‫پذیری‬ ‫آسیب‬ ‫شناسایی‬ ‫برای‬ ‫ها‬ ‫پذیری‬ ‫آسیب‬ ‫دیتابیس‬( .CVE)

18. ‫چهارچوب‬ ‫در‬ ‫افزار‬ ‫نرم‬ ‫نصب‬
‫ندارند‬ ‫افزار‬ ‫نرم‬ ‫نصب‬ ‫دسترسی‬ ‫به‬ ‫نیاز‬ ‫کاربران‬.
‫شود‬ ‫بررسی‬ ‫جدی‬ ‫بصورت‬ ‫نصب‬ ‫از‬ ‫قبل‬ ‫افزار‬ ‫نرم‬ ‫هر‬.
‫افزار‬ ‫نرم‬ ‫از‬ ‫استفاده‬ ‫رسمی‬ ‫روند‬

19. ‫معتبر‬ ‫مرجع‬ ‫از‬ ‫برنامه‬ ‫دریافت‬
‫کنید‬ ‫دریافت‬ ‫رسمی‬ ‫مرجع‬ ‫از‬ ‫را‬ ‫برنامه‬ ً‫ا‬‫حتم‬.
‫دهید‬ ‫ترجیح‬ ‫را‬ ‫باینری‬ ‫کد‬.
CheckSum

20. ‫و‬
‫ها‬ ‫پذیری‬ ‫آسیب‬ ‫اسکن‬(Nessus, OpenVAS)
‫ناخواسته‬ ‫های‬ ‫سرویس‬ ‫کردن‬ ‫غیرفعال‬
‫عمق‬ ‫در‬ ‫دفاع‬ ‫استراتژی‬(‫ای‬ ‫الیه‬ ‫امنیت‬)
‫مناسب‬ ‫سازی‬ ‫مستند‬ ‫و‬ ‫آموزش‬

21. ‫سوال؟‬
‫ببار‬ ‫و‬ ‫باش‬ ‫باران‬‫و‬
‫نپرس‬‫کیست‬ ‫آن‬ ‫از‬ ‫خالی‬ ‫های‬ ‫کاسه‬ ‫که‬.

22. ‫نباشید‬ ‫خسته‬