绕过审查和监控的软件工具,也称为规避技术,在各种情况下被使用。中国公民绕过防火长城来访问被审查的网站和流行的国际社交媒体平台。伊朗的活动家绕过政府监控,发布反政府示威的照片和视频。墨西哥的记者规避卡特尔的监控,报道当地与毒品相关的暴力事件。
虽然规避工具近年来变得越来越流行,但许多工具在发布时几乎没有或根本没有安全审查。这是危险的,因为任何错误都可能使位于高风险地区的最终用户处于危险之中。
以一位记者报道一个国家的战争为例,作为其研究的一部分,该记者采访了持不同政见者,然后加密了收集到的敏感信息。如果有人可以绕过加密并访问敏感信息,这可能会使持不同政见者处于危险之中。问题在于,即使开发团队了解更安全实践的必要性,他们也缺乏资源、手段和/或知识来进行彻底的软件审查。
看到这个差距,Open IT Tools Project启动了同行评审委员会(PRB),这是一个旨在帮助工具获得高质量商业安全审计和服务的项目,服务范围从审计计划到补救测试和缓解服务。启动的标志是对Chatsecure(一个iOS安全即时消息客户端)的审计,该审计由人工选择的安全公司Quarkslab SAS完成。此外,PRB目前正在接受来自开发人员和用户社区的评估建议。鼓励有兴趣参与的个人和项目加入PRB邮件列表。
提高社区中的安全开发标准
OpenITP的PRB的次要目标是提高规避技术社区内的知识和安全标准。
“像Tor这样的规避工具是由世界各地的志愿者创建的,他们热衷于为每个人、每个地方提供保护隐私和自由交流而不必担心后果的能力。这项努力将为自由软件人道主义社区提供他们所需的资源和支持,以便他们能够自信地支持其产品提供的安全性和安全性,”OpenITP执行董事James Vasile说。
这将通过帮助团队改进其整个安全软件开发生命周期来实现,从初始需求到文档和响应实践。这包括鼓励团队改进威胁建模、与安全相关的可用性,并将安全性集成到其软件开发生命周期中。
然而,最重要的是,一旦问题得到解决,审计结果将与项目以及公众共享。这将确保不仅解决特定问题,而且开发人员社区可以使用在审计期间获得的知识来避免未来已识别的安全问题。此外,PRB将创建学习和设计辅助工具,以鼓励最佳实践,并为用于人道主义工具的安全开发提供有用的定制信息。
评论已关闭。