Foss security-present

387 views

Published on

Phát triển các phần mềm tự do nguồn mở theo đúng mô hình phát triển của nó là một cách quan trọng để đảm bảo an toàn an ninh cho phần mềm tự do nguồn mở được sử dụng trong Chính phủ.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
387
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Foss security-present

  1. 1. Mô hình và giải pháp đảm bảo ATTT đối với các ứng dụng nguồn mở trong các cơ quan nhà nướcHội thảo về An toàn thông tin trong các cơ quan nhà nước và doanh nghiệp nhà nước thành phố Hà Nội, 21/09/2012 NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨA VĂN PHÒNG PHỐI HỢP PHÁT TRIỂN MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ, BỘ KHOA HỌC & CÔNG NGHỆ Email: letrungnghia.foss@gmail.com Blogs: http://vn.myblog.yahoo.com/ltnghia http://vnfoss.blogspot.com/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/ HanoiLUG wiki: http://wiki.hanoilug.org/ Đăng ký tham gia HanoiLUG: http://lists.hanoilug.org/mailman/listinfo/hanoilug/
  2. 2. Nội dungA. Nhận định chung về ATTT trong các ứng dụng phần mềmB. Triết lý trong phát triển PMTDNMC. Tuân thủ mô hình phát triển của PMTDNM là một trongnhững giải pháp quan trọng để đảm bảo ATTT cho PMTDNMD. Các cơ quan nhà nước với chiến lược người tiêu dùngPMTDNM
  3. 3. A. Nhận định chung về ATTT trong các ứng dụng phần mềm (1)1. Mất ANAT trongcác ứng dụng phầnmềm xảy ra cả vớicác PMTDNM vàPMSHĐQ.2. Mã nguồn yếu làđiểm mấu chốt gâymất ANAT cho PM.3. Site của Bộ Quốcphòng Mỹ [7]: - “Tin cậy vào sự cứngcỏi, không tin cậy vào sựtối tăm” (về mã nguồn). - Trung bình để khắcphục 1 lỗi phần mềm,Mozilla cần 37 ngày,Microsoft cần 134,5 ngày
  4. 4. A. Nhận định chung về ATTT trong các ứng dụng phần mềm (2)4. Tài liệu Bộ Quốc phòng Mỹ vềPhát triển Công nghệ Mở [5],15/6/2011, để thành công cần: - Cộng đồng trước, công nghệ sau - Mặc định là mở, đóng chỉ khi cần - Chương trình của bạn không có gìđặc biệt. Đúng là quân sự có nhữngnhu cầu và khả năng chiến đấu,nhưng (đặc biệt trong CNTT) chúng takhông có. - ...5. Chính phủ có quyền trí tuệkhông hạn chế đối với mã nguồncác phần mềm và hệ thống sửdụng trong chính phủ [5].
  5. 5. A. Nhận định chung về ATTT trong các ứng dụng phần mềm (3)5. Chính phủ có quyền trí tuệ không hạn chế với mã nguồn củacác phần mềm và hệ thống được sử dụng trong chính phủ →Không đồng nghĩa với việc mọi cơ quan đòi mã nguồn trong cáchợp đồng, mà nên xây dựng cổng chung chia sẻ, quản lý các dựán PMTDNM với tất cả các thông tin liên quan cho các cơ quan.Hệ quả → cần thiết phải hiểu rõ về các giấy phép của PMTDNM.
  6. 6. A. Nhận định chung về ATTTtrong các ứng dụng phần mềm (4) Xác suất lỗi trong hệ thống các PMTDNM RHEL 4.0 và 5.0 có số lỗi sống còn bằng 0.
  7. 7. B. Triết lý trong phát triển PMTDNM Eric Raymond, đồng sáng lập phong trào nguồn mở, tác giả cuốn sách “Nhà thờ lớn và cái chợ”: “Given enough eyeballs, all bugs are shallow” - “Nhiều con mắt soi vào thì lỗi sẽ cạn” - 1 trong 2 tuyên bố của Luật Linus. Linus Torvalds, nhà phát minh ra nhân Linux: “Talk is cheap, show me the code” - “Nói thì ít giá trị, hãy cho tôi xem mã nguồn” Trích Site nguồn mở của Bộ Quốc phòng Mỹ [7]Một trong những giá trị lớn nhất của phát triển nguồn mở là chophép truy cập từ một cộng đồng rộng lớn tới mã nguồn. Theo cáchnày các lỗi sẽ ít và dễ tìm ra hơn. Truy cập rộng rãi hơn tới mãnguồn phần mềm cũng là chìa khóa để hình thành và duy trì vị thếan ninh cho phần mềm vì có khả năng rà soát lại mã nguồn phầnmềm để xem điều gì thực sự hiện diện bên trong phần mềm đó [5].
  8. 8. C. Tuân thủ mô hình phát triểnPMTDNM là một giải pháp quan trọng...(1) Rà soát lại ngang hàng cả từ những người duy trì và những người sử dụng một cách liên tục làm mã nguồn cứng cáp → yếu tố chính giúp nâng mức độ ANAT của các ứng dụng PMTDNM.
  9. 9. C. Tuân thủ mô hình phát triểnPMTDNM là một giải pháp quan trọng...(2) Cộng đồng những người sử dụng tham gia vào tiến trình phát triển PMTDNM → Đưa ra các yêu cầu tính năng...
  10. 10. C. Tuân thủ mô hình phát triển PMTDNM là một giải pháp quan trọng...(3)Cần tuân thủ mô hình phát triển PMTDNM, không đóng mã nguồn → tạo rẽnhánh không cần thiết, gây hại cho cơ quan phát triển và các đơn vị sử dụng. ◄ Phát triển đúng mô hình, có đóng góp ngược lên dòng trên cho cây dự án nguồn mở gốc ban đầu.Phát triển rẽ nhánh, khôngcó đóng góp ngược lêndòng trên cho cây dự ánnguồn mở gốc ban đầu. ►
  11. 11. D. Chiến lược người tiêu dùng PMTDNM● Giao tiếp chiến lược cho việc sử dụng PMNM.● Giáo dục các nhân viên về các bổn phận của giấy phép và sự tuân thủ nguồn mở, và mô hình phát triển nguồn mở.● Thiết lập các tiêu chí rõ ràng xác định PMNM nào là ứng viên để sử dụng● Thiết lập một chương trình tuân thủ nguồn mở.● Khuyến khích các lập trình viên áp dụng các công cụ phát triển nguồn mở.● Khuyến khích các nhân viên đăng ký vào các công cụ giao tiếp cộng đồng.● Khuyến khích và cấp tiền cho các nhân viên tham dự các hội nghị PMNM.● Tham gia vào các cơ quan và tổ chức công nghiệp nguồn mở quốc tế.● Thuê các lập trình viên từ các cộng đồng nguồn mở.● Tổ chức các nhóm người sử dụng nguồn mở địa phương và khuyến khích các nhân viên tham gia trong các hoạt động nguồn mở của địa phương.● Hợp tác với các thành viên của cộng đồng cả trong và ngoài nước.Tham khảo thêm: [3] Thiết lập chiến lược PMNM - Những cân nhắcchính và những khuyến cáo chiến thuật, Quỹ Linux, tháng 11/2011.
  12. 12. Tóm lược1. ANAT thông tin là một lĩnh vực rộng lớn, tài liệu này chỉ đề cập tớiphần ANAT thông tin liên quan tới sử dụng các ứng dụng PMTDNMtrong các cơ quan và doanh nghiệp nhà nước.2. Mã nguồn phần mềm là một yếu tố chủ chốt trong ANAT TT.3. Mô hình phát triển của PMTDNM làm cho mã nguồn được rà soátlại ngang hàng từ cả người sử dụng và lập trình viên trên toàn thếgiới, làm cho nó cứng cáp, vì thế giúp đảm bảo ANAT TT tốt hơn.4. Để đảm bảo ANAT TT đối với các ứng dụng nguồn mở trong cáccơ quan, doanh nghiệp nhà nước, ít nhất, nên: - Tuân thủ mô hình phát triển PMTDNM, không đóng lại, rẽ nhánh. - Hợp tác và tham gia với cộng đồng, cả trong và ngoài nước. - Có quyền trí tuệ không hạn chế đối với các phần mềm sử dụng. - Có cách thức tốt để quản lý mã nguồn hợp lý, mục tiêu là để ai cũng xem xét được mã nguồn, chứ không chỉ đơn vị sử dụng. - Xây dựng chiến lược người tiêu dùng nguồn mở cho đơn vị.
  13. 13. Tài liệu tham khảo1. Hiểu biết về mô hình phát triển nguồn mở. Quỹ Linux, 11/2011.2. Ngược lên dòng trên. Quỹ Linux, 01/2012.3. Thiết lập chiến lược phần mềm nguồn mở. Quỹ Linux, 11/2011.4. Phát triển nhân Linux. Quỹ Linux, 01/2012.5. Phát triển công nghệ mở - Những bài học học được và nhữngthực tiễn tốt nhất cho các phần mềm quân sự. Bộ Quốc phòngMỹ, xuất bản ngày 15/06/2011.6. Kế hoạch lộ trình phát triển công nghệ mở. Bộ Quốc phòngMỹ, xuất bản tháng 04/2006.7. Website về phần mềm nguồn mở quân sự của quân đội Mỹ.
  14. 14. Cảm ơn!Hỏi đáp

×