Как я могу убедить IT, что программное обеспечение F/OSS не является злым? [закрытый]

Я работаю системным администратором. С моей точки зрения этот вопрос не о доверии Программному обеспечению с открытым исходным кодом конкретно. Ваша личность IT упомянула конкретный случай, говоря, что он не доверял ему имя пользователя администратора домена и пароль. Я думаю, что он может быть обеспокоен программным обеспечением, хранящим то имя пользователя и пароль. Если бы это на самом деле, как это работает, я отклонил бы просьбу об или коммерческом программном обеспечении с открытым исходным кодом. Нет правильно система установки должна должна быть сохранить имя пользователя администратора домена и пароль, возможно учетная запись с более низкими учетными данными, или в зависимости от инструмента, если это является интерактивным, имеют его установка для просьбы учетные данные во времени выполнения и authentcate против домена.

Нижняя строка необходимо работать с IT для прибытия в лучшее понимание и их потребности. Вещами не должен всегда быть только да или без проблем.

Спросите их, если они прочитали лицензию начиная с того, именно это они возражают также. Спросите их конкретно, что в лицензии является проблемой для них. Если то, чему они действительно сопротивляются, является Программным обеспечением с открытым исходным кодом, то это - отдельный вопрос от сопротивления GPL.

Я попробовал бы его этот путь:

Почему программное обеспечение с открытым исходным кодом было бы менее защищено, чем оно получило завершением эквивалентный? В любом случае прозрачность его кода потребовала бы, чтобы это было еще более защищено, с точки зрения частного хранения данных, такого как пароли, так как любая попытка ниспровергать его была бы поддающейся обнаружению путем исследования исходного кода.

Это, конечно, только допустимо, если компания компилирует источник самостоятельно и не доверяет двоичному распределению.

Почему бы не работать как не администратор домена? Я могу понять, почему они не хотят давать пароль администратора домена любому программному обеспечению. Особенно, если существует только одна учетная запись "Администратора домена".

Как насчет Вас решают точно, что полномочия должны были запустить программное обеспечение и запросить новую учетную запись только с теми полномочиями. Вы могли convice их для помещения этого в другой OU с дополнительным аудитом. Если программное обеспечение обеспечивает значение, Вы создаете процесс для них, чтобы "контролировать" и решить доверять OSS.

Определите точно, чему он не может доверять о программном обеспечении F/OSS, и затем можно адаптировать объяснение для обращения к его проблемам.

• Это - озабоченность по поводу бэкдоров, кодируемых в?
• Это - озабоченность по поводу качества кода, которое приводит к угрозам безопасности?
• Это - озабоченность по поводу того, как скоро угрозы безопасности будут зафиксированы?

"как убедить IT, что программное обеспечение F/OSS не (автоматически) менее защищено, чем какое-либо другое программное обеспечение просто, потому что это свободно / oss".

"Как я могу способствовать принятию OSS в моей компании?"

Вы не можете.

Все, что можно сделать, следующее.

1. Найдите F/OSS, который они в настоящее время используют. Это может быть твердо. В некоторых случаях это тривиально, потому что многие люди используют Apache и Java, не думая об этом.

2. Спросите, как то, что Вы собираетесь использовать отличающийся, чем, что они уже используют?

Это изложит доводы точно для одной новой части F/OSS. Или, они сойдут с ума и вышлют материал, который они использовали.

Вы не можете заставить общее понимание произойти. Можно только сделать случай одним определенным подробным случаем за один раз, пока кто-то еще не начинает соединять большое изображение самостоятельно.

Иногда они не, иногда они. Вам нужно доказательство для резервного копирования мыслей.

Числа CVE не лежат. Перейдите к http://cve.mitre.org/, http://www.securityfocus.com/bid/, http://www.secunia.com и сравните коммерческий и версия OSS той же линейки продуктов, которую Вы выбрали бы.

Посмотрите, какой иногда лучше, это - то, что продуктом OSS является действительно мусор, такой как PHPNuke, но иногда это - проклятая польза когда дело доходит до безопасности, такой как qmail.

Также не забывайте, что необходимо выбрать решение для OSS, которое получило хорошее сообщество иначе, Вы могли бы видеть, что проект мертв после года. это возможно в коммерческом мире, но давайте столкнемся с ним менее вероятно

Какие инструменты Вы хотите использовать? Сделайте экономическую модель о том, сколько времени / $$ будет сэкономлено при помощи этих инструментов. Дайте примеры другого, высоко успешные компании (Google приходит на ум), которые используют эти инструменты.

Я возложил бы ответственность на IT для доказательства их случая. Просто спросите "почему нет?", или возможно, "какое доказательство у Вас есть это, это немного менее безопасно, чем non-GPL программное обеспечение?". Если они пытаются дать некоторое объяснение, можно взять некоторые из других предложений, чтобы объяснить их неправильные представления им. Если они просто упрямо стоят на своем, они стоят на пути Вас делающий Ваше задание - и ни на каком серьезном основании. Мягко объясните им, как Вы нашли невероятное значение (т.е. свободный) программным обеспечением, которое увеличивает стоимость компании, и что Вы уверены, что более высокие уровни управления хотели бы, чтобы Вы использовали в своих интересах его. Надо надеяться, это напомнит им, что у них нет доказательства. Если даже это перестало работать, и это важно, Вы могли бы затем взять его к более высоким уровням управления, но соблюсти осторожность, поскольку это - верный способ нажить врагов.

Сначала и самое главное, удостоверьтесь, что эти решения IT зарегистрированы где-нибудь. Электронная почта или что бы то ни было. Если Вы не можете сделать своего задания эффективно из-за них, удостоверьтесь, что у Вас есть достаточно документации для перенаправления вины, где это принадлежит.

На время забудьте IT. Ваш системный администратор может следовать правилам, записанным где-то в другом месте в компании, обычно юридическом департаменте. Если это так, у Вас может быть адвокат компании, который не знает о программном обеспечении, или FOSS, реагирующие с типичной реакцией корпоративного адвоката на неизвестное - запрещают его. После демонстрации стоимости и преимуществ безопасности Вы, возможно, должны попросить, чтобы компания обратилась к судебному эксперту в области FOSS.

Если у Вас есть исходный код для (и примерно поймите язык позади него), пройдите код и попытайтесь найти любые проблемы безопасности, которые могли потенциально подвергнуть пароли/информацию опасности. Если Вы можете, скомпилировать Вашу собственную версию исходного кода после просмотра кода, только для сейфа.

Вы говорите об администраторах Windows. Просто укажите, как MSFT обработал недавние проблемы безопасности (как недавние дыры IE, которые имеют основные медиа, говоря людям использовать альтернативные браузеры), и спросите, как OSS может быть немного хуже.