Reproducerbar mjukvara

För mig som jobbar med cybersäkerhet och granskning är reproducerbar mjukvara något som är intressant på flera plan. Jag kan vid en granskning av källkoden med större sannolikhet avgöra om den kod jag granskar är den verkliga kod som hamnar i den slutgiltiga binären eller produkten.

Bildkälla

Genom att dokumentera stegen för att producera (kompilera) en mjukvara så försvåras exempelvis attacker som försöker lägga in bakdörrar på vägen eller en kompilator med bakdörr. Vi ser allt fler cyberattacker mot utvecklare samt attacker mot ().

Därför är det nu bra att det säkra och anonyma operativsystemet Tails nu går skapa reproducerbart. Du kan alltså själv ladda hem hela källkodsträdet och skapa en ISO som bör helt stämma överens med den du kan ladda hem genom de officiella kanalerna.

Och för att citera Tails:

Being free software is a necessary condition for tools to be trusted for their security. The only way for security researchers to know if a piece of software is trustworthy, is to audit its source code.

But operating systems are delivered to their users in binary form that cannot be simply reverted back to their original source code.

Flera opensource-operativsystem och mjukvaror håller på eller har redan infört reproducerbara byggen:

  • OpenWRT
  • FreeBSD
  • NetBSD
  • Debian
  • Tor

Vidare läsning för den som är intresserad av ämnet finns på: https://reproducible-builds.org/resources/

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>