Interessant ist die Vorgehensweise, normalerweise wird Software als "Black Box" von außen mit manuellen und automatischen Tests geprüft und es sind umfangreiche NDAs zu unterschreiben, hier kommt kein Anwalt mit ein paar DVDs in die Behörde, sondern die können sich alles live aus dem Netz holen, wie jeder andere Nutzer auch.
Ein BlackBox-Test wäre bei OSS wohl nicht ganz angebracht, da frei zugänglicher Quellcode ja ein zusätzliches Risiko darstellen würde, wenn er fehlerhaft wäre. Insofern muss der Code schon als die WhiteBox betrachtet werden, die er ist. Was die Sache mit den Unterschriften und hochgeheimen DVDs angeht, FULL ACK.
Ich persönlich mag Software, deren Schwachstellen nicht hinter verschlossenen Türen (bei Monopolisten oder pickelgesichtigen Möchtegern-Crackern) gefunden werden.
Schön zu sehen das OS Software hier anscheinend mit Wohlwollen begegnet wird. Hätte eher damit gerechnet das die sich hinter ihrer üblichen Vorgehensweise (Keine Black-Box --> Muss ja unsicher sein) versteckten würden. Also immer höflich aber bestimmt agieren! ;-)
Von Methoden-Schlaumeier am Mi, 25. Januar 2006 um 11:04 #
Was ist damit gemeint: > Auch für CMVP war es eine neue Erfahrung, freie Software zu zertifizieren, die zur > Entwicklung einer eigenen Methodik führte. Dies sollte zukünftige Zertifizierungen > erleichtern.
Wenn Closed Source mittels NDAs ebenfalls auf den Quelltext geprüft werden, wo ist dann der Unterschied?
Was die Sache mit den Unterschriften und hochgeheimen DVDs angeht, FULL ACK.
Ich persönlich mag Software, deren Schwachstellen nicht hinter verschlossenen Türen (bei Monopolisten oder pickelgesichtigen Möchtegern-Crackern) gefunden werden.
Hätte eher damit gerechnet das die sich hinter ihrer üblichen Vorgehensweise (Keine Black-Box --> Muss ja unsicher sein) versteckten würden.
Also immer höflich aber bestimmt agieren! ;-)
Schönen Tag noch
Mark
> Auch für CMVP war es eine neue Erfahrung, freie Software zu zertifizieren, die zur
> Entwicklung einer eigenen Methodik führte. Dies sollte zukünftige Zertifizierungen
> erleichtern.
Wenn Closed Source mittels NDAs ebenfalls auf den Quelltext geprüft werden, wo ist dann der Unterschied?