我怎样才能让IT说服F / OSS软件不邪恶?

时间:2008-12-17 19:12:22

标签: open-source policy

当尝试将一些成熟的工具链接到我公司的活动目录时,我遇到了障碍。有人告诉我:

  

“抱歉,我无法信任[F / OSS]软件的域管理员密码......”。

这个问题特别针对如何说服IT,F / OSS软件不会(自动)比任何其他软件更不值得信任,因为它是免费的/ oss

我采用OSS软件做得很好(我的核心是Linux忍者)所以换句话说:如何在我的公司推广OSS的接受

在没有管理员帐户的情况下绑定AD的技术问题是另一个帖子。

修改

我对这些问题做了一些澄清。这实际上与活动目录关系不大,而且与F / OSS的信任关系一般。所以我认为我原来的粗体问题仍然有效,只需忽略关于“管理员密码”的部分。

14 个答案:

答案 0 :(得分:8)

任何值得他们学习的IT人员都会充分了解开源软件的好处。

给出的答案听起来像一个掌心的答案,为什么他们不想实施它的一些可能性可能是:

  • 可能缺乏对该特定软件开源软件的企业级支持
  • 不希望非IT部门员工修改活动目录(您)
  • 您找到的软件没有其他类似产品的行业认可
  • IT部门对其所要求的工作(初始设置和持续维护)没有任何明显的好处。

答案 1 :(得分:7)

我是一名系统管理员。从我的角度来看,这个问题不是专门信任开源软件。您的IT人员提到了一个特定的案例,说他不相信域管理员用户名和密码。我想他可能会关心存储用户名和密码的软件。如果这实际上是如何工作的,我会否认开源或商业软件的请求。没有正确的设置系统应该需要存储域管理员用户名和密码,可能是具有较低凭据的帐户,或者如果它是交互式的,则取决于工具,它设置为在运行时请求凭证并对域进行验证。

您需要与IT部门合作,以更好地了解您和他们的需求。事情不一定只是一个是或否的问题。

答案 2 :(得分:4)

我会这样试试:

为什么开源软件的可靠性低于其近似来源的等价物?如果有的话,其代码的透明度将要求它在私人数据存储(如密码)方面更加值得信赖,因为任何破坏它的尝试都可以通过检查源代码来发现。

当然,这只有在公司自己编译源并且不信任二进制分发时才有效。

答案 3 :(得分:3)

询问他们是否已阅读许可证,因为这也是他们反对的内容。具体询问他们许可证中的问题是什么。如果他们真正抵制的是开源软件,那么这就是抵制GPL的另一个问题。

答案 4 :(得分:3)

为什么不以非域管理员身份运行?我可以理解为什么他们不想给任何软件提供域管理员密码。特别是如果只有一个“域管理员”帐户。

如何准确确定运行软件所需的权限,并仅使用这些权限请求新帐户。你可以让他们把它放在一个不同的OU中,并进行额外的审计。如果软件提供了价值,那么您正在为他们创建一个“审核”并决定信任OSS的流程。

答案 5 :(得分:2)

确切地确定他对F / OSS软件无法信任的内容,然后您可以定制解释以解决他的问题。

  • 是否关注后门被编码?
  • 是否会导致代码质量导致安全风险?
  • 关注安全风险将在多长时间内得到解决?

答案 6 :(得分:1)

“如何说服IT,F / OSS软件不会(自动)比任何其他软件更不值得信任,只因为它是免费的/ oss。”

“我怎样才能促进我公司接受OSS?”

你不能。

您所能做的就是以下几点。

  1. 找到他们目前使用的F / OSS。这可能很难。在某些情况下,它是微不足道的,因为许多人在不考虑它的情况下使用Apache和Java。

  2. 询问您将使用的内容与他们已经使用的内容有何不同?

    3. 这将成为一个新的F / OSS的案例。或者,他们会发疯并消除他们一直在使用的东西。

    你无法做出一般性的理解。你只能一次为案件制作一个具体的详细案例,直到其他人开始将自己的大局放在一起。

答案 7 :(得分:1)

有时它们不是,有时它们是。你需要证据来备份你的想法。

CVE号码不会说谎。转到http://cve.mitre.org/http://www.securityfocus.com/bid/http://www.secunia.com并比较与您相同产品系列的商业版和OSS版选择。

有时候看哪个更好是因为OSS产品真的是垃圾,比如PHPNuke,但有时它在qmail这样的安全性方面很不错。

另外不要忘记你需要选择一个能够建立良好社区的OSS解决方案,否则你可能会看到项目在一年之后就已经死了。 这在商业世界中是可行的,但让我们不太可能面对它

答案 8 :(得分:0)

我会把责任放在IT上来证明他们的情况。简单地问“为什么不呢?”,或者可能“你有什么证据证明这比非GPL软件更不安全?”。如果他们试图给出一些解释,你可以采取其他一些建议来解释他们对他们的误解。如果他们只是顽固地坚持自己的立场,他们就会阻碍你做你的工作 - 而且没有充分的理由。轻轻地向他们解释您是如何找到为公司增加价值的令人难以置信的价值(即免费)软件,并且您确信更高级别的管理层会希望您利用它。希望这会提醒他们没有证据。如果即使这个失败并且这很重要,那么你可以把它带到更高级别的管理层,但要谨慎行事,因为这是制造敌人的必然方法。

答案 9 :(得分:0)

您想使用哪些工具?通过使用这些工具,了解将节省多少时间/ $$的业务案例。举例说明使用这些工具的其他非常成功的公司(谷歌会想到)。

答案 10 :(得分:0)

首先也是最重要的是,确保IT部门的这些决策被记录在某个地方。电子邮件或其他。如果由于这些原因无法有效地完成工作,请确保您有足够的文档来将责任重定向到它所属的位置。

答案 11 :(得分:0)

超越IT。您的系统管理员可能遵循公司其他地方设置的规则,通常是法律部门。如果是这种情况,您可能会有一位公司律师不了解软件或FOSS对公司律师对未知事件的典型反应做出反应 - 禁止它。在证明了成本和安全性方面的好处之后,您可能需要请求公司联系FOSS领域的法律专家。

答案 12 :(得分:-1)

您在谈论Windows管理员。只需指出MSFT如何处理最近的安全问题(比如最近IE主流媒体告诉人们使用其他浏览器的IE漏洞),并询问OSS如何变得更糟。

答案 13 :(得分:-3)

如果您拥有源代码(并且大致了解其背后的语言),请仔细检查代码并尝试查找可能会使密码/信息面临风险的任何安全问题。如果可以,在查看代码后编译自己的源代码版本,只是为了安全。

相关问题
最新问题