كيف يمكنني إقناع قسم تكنولوجيا المعلومات بأن برامج F/OSS ليست شريرة؟[مغلق]
https://stackoverflow.com/questions/375678
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
عند محاولة ربط بعض الأدوات الراسخة بالدليل النشط لشركتي، واجهت مشكلة.قيل لي أن:
"عذرًا، لا يمكنني الوثوق بكلمة مرور مسؤول المجال الخاصة بنا لبرنامج [F/OSS]...".
يتناول هذا السؤال على وجه التحديد كيفية إقناع قسم تكنولوجيا المعلومات بأن برنامج F/OSS ليس (تلقائيًا) أقل جدارة بالثقة من أي برنامج آخر لمجرد أنه مجاني/OSS.
أنا بخير في اعتماد برنامج OSS (أنا نينجا لينكس في القلب) لذا بعبارة أخرى: كيف يمكنني الترويج ل قبول OSS في شركتي؟
المشكلة الفنية المتمثلة في الارتباط بـ AD بدون حساب مسؤول هي لمقالة أخرى.
يحرر:
لقد حصلت على بعض التوضيحات حول هذه القضايا.هذا لا علاقة له حقًا بالدليل النشط وكل ما يتعلق بالثقة في F/OSS بشكل عام.لذلك أعتقد أن أسئلتي الأصلية بالخط العريض لا تزال صالحة، فقط تجاهل الجزء المتعلق بـ "كلمة مرور المسؤول".
المحلول
أي شخص يستحق الاهتمام بتكنولوجيا المعلومات سيكون مدركًا جيدًا لفوائد البرامج مفتوحة المصدر.
الإجابة التي تم إعطاؤها تبدو لي وكأنها إجابة غير مكتملة، وقد تكون بعض الاحتمالات لسبب عدم رغبتهم في تنفيذها:
- احتمالية عدم وجود دعم على مستوى المؤسسة لهذا البرنامج المحدد مفتوح المصدر
- عدم الرغبة في قيام الموظفين غير العاملين في قسم تكنولوجيا المعلومات بتعديل الدليل النشط (أنت)
- لا يتمتع البرنامج الذي عثرت عليه بتقدير الصناعة الذي تتمتع به المنتجات المماثلة الأخرى
- لا توجد فائدة محسوسة لقسم تكنولوجيا المعلومات من العمل الذي يتطلب منهم القيام به (سواء في الإعداد الأولي أو الصيانة المستمرة)
نصائح أخرى
أنا أعمل كمسؤول النظام.من وجهة نظري، لا يتعلق هذا السؤال بالثقة في البرامج مفتوحة المصدر على وجه التحديد.ذكر موظف تكنولوجيا المعلومات لديك حالة معينة قائلاً إنه لا يثق في اسم المستخدم وكلمة المرور لمسؤول المجال.أعتقد أنه قد يكون مهتمًا بالبرنامج الذي يخزن اسم المستخدم وكلمة المرور.إذا كان هذا هو الحال بالفعل، فسوف أرفض طلب البرامج مفتوحة المصدر أو البرامج التجارية.لا يجب أن يحتاج أي نظام إعداد بشكل صحيح إلى تخزين اسم المستخدم وكلمة المرور لمسؤول المجال، وربما يكون حسابًا ببيانات اعتماد أقل، أو اعتمادًا على الأداة إذا كانت تفاعلية، قم بإعدادها لطلب بيانات الاعتماد في وقت التشغيل والمصادقة على المجال.
خلاصة القول أنك بحاجة إلى العمل مع تكنولوجيا المعلومات للوصول إلى فهم أفضل لاحتياجاتك واحتياجاتهم.لا يجب أن تكون الأمور دائمًا مجرد مسألة نعم أو لا.
سأحاول ذلك بهذه الطريقة:
لماذا تكون البرامج مفتوحة المصدر أقل جدارة بالثقة من نظيرتها قريبة المصدر؟وإذا كان هناك أي شيء، فإن شفافية الكود الخاص به تتطلب أن يكون أكثر جدارة بالثقة، من حيث تخزين البيانات الخاصة مثل كلمات المرور، حيث أن أي محاولة لتخريبها سيكون قابلاً للاكتشاف من خلال فحص الكود المصدري.
وهذا بالطبع صالح فقط إذا قامت الشركة بتجميع المصدر بنفسها، ولا تثق في التوزيع الثنائي.
اسألهم إذا كانوا قد قرأوا رخصة لأن هذا هو ما يعترضون عليه أيضا.اسألهم على وجه التحديد عما في رخصة هي قضية بالنسبة لهم.إذا كان ما يقاومونه حقًا هو البرمجيات مفتوحة المصدر، فهذه مشكلة منفصلة عن مقاومة GPL.
لماذا لا تعمل كمسؤول غير المجال؟أستطيع أن أفهم سبب عدم رغبتهم في إعطاء كلمة مرور مسؤول المجال لأي برنامج.خاصة إذا كان هناك حساب "Domain Admin" واحد فقط.
ماذا لو قمت بتحديد الأذونات اللازمة لتشغيل البرنامج بالضبط وطلب حساب جديد بهذه الأذونات فقط.يمكنك إقناعهم بوضع هذا في وحدة تنظيمية مختلفة، مع إجراء تدقيق إضافي.إذا كان البرنامج يوفر قيمة، فأنت تقوم بإنشاء عملية لهم "للتدقيق" واتخاذ قرار بالثقة في OSS.
حدد بالضبط ما لا يمكنه الوثوق به بشأن برنامج F/OSS ومن ثم يمكنك تخصيص شرحك لمعالجة مخاوفه.
- هل هناك قلق بشأن تشفير الأبواب الخلفية؟
- هل القلق بشأن جودة الكود هو الذي يؤدي إلى مخاطر أمنية؟
- هل هناك قلق بشأن مدى سرعة إصلاح المخاطر الأمنية؟
"كيفية إقناع قسم تكنولوجيا المعلومات بأن برنامج F/OSS ليس (تلقائيًا) أقل جدارة بالثقة من أي برنامج آخر لمجرد أنه مجاني/OSS."
"كيف يمكنني تعزيز قبول برمجيات المصدر المفتوح في شركتي؟"
لا يمكنك.
كل ما يمكنك فعله هو ما يلي.
ابحث عن F/OSS الذي يستخدمونه حاليًا.قد يكون هذا صعبًا.في بعض الحالات، يكون الأمر تافهًا لأن العديد من الأشخاص يستخدمون Apache وJava دون التفكير في الأمر.
اسأل كيف يختلف ما ستستخدمه عن ما يستخدمونه بالفعل؟
وهذا من شأنه أن يبرر قطعة واحدة جديدة تمامًا من F/OSS.أو سيصابون بالجنون ويتخلصون من الأشياء التي كانوا يستخدمونها.
لا يمكنك تحقيق تفاهم عام.يمكنك فقط إنشاء حالة تفصيلية واحدة فقط في كل مرة حتى يبدأ شخص آخر في تجميع الصورة الكبيرة معًا بنفسه.
في بعض الأحيان لا يكونون كذلك، وفي بعض الأحيان يكونون كذلك.أنت بحاجة إلى أدلة لدعم أفكارك.
أرقام مكافحة التطرف العنيف لا تكذب. اذهب إلى http://cve.mitre.org/ , http://www.securityfocus.com/bid/, http://www.secunia.com وقارن بين الإصدار التجاري وإصدار OSS لنفس مجموعة المنتجات التي تختارها.
تعرف على أيهما أفضل في بعض الأحيان، تكون حقيقة أن منتج OSS هراء حقًا مثل PHPNuke ولكنه في بعض الأحيان يكون جيدًا جدًا عندما يتعلق الأمر بالأمان مثل qmail.
لا تنس أيضًا أنك بحاجة إلى اختيار حل OSS الذي يحظى بمجتمع جيد وإلا فقد ترى المشروع ميتًا بعد عام. وهذا أمر ممكن في العالم التجاري، ولكن دعونا نواجه الأمر أقل احتمالا
أود أن أضع العبء على تكنولوجيا المعلومات لإثبات قضيتهم.ببساطة اسأل "لماذا لا؟"، أو ربما "ما الدليل الذي لديك على أن هذا أقل أمانًا من البرامج غير التابعة لـ GPL؟".إذا حاولوا تقديم بعض التوضيحات، يمكنك أن تأخذ بعض الاقتراحات الأخرى لشرح مفاهيمهم الخاطئة لهم.إذا ظلوا ثابتين على موقفهم بعناد، فإنهم يقفون في طريق قيامك بعملك - وبدون سبب وجيه.اشرح لهم بلطف كيف وجدت برمجيات ذات قيمة مذهلة (أي مجانية) تضيف قيمة إلى الشركة، وأنك متأكد من أن المستويات العليا في الإدارة تريد منك الاستفادة منها.نأمل أن يذكرهم هذا بأنه ليس لديهم أي دليل.إذا فشل هذا حتى وكان الأمر مهمًا، فيمكنك بعد ذلك نقله إلى مستويات أعلى من الإدارة، ولكن تابع بحذر لأنها طريقة أكيدة لتكوين أعداء.
ما هي الأدوات التي تريد استخدامها؟قم بإجراء دراسة جدوى حول مقدار الوقت/$$ الذي سيتم توفيره باستخدام هذه الأدوات.أعط أمثلة لشركات أخرى ناجحة للغاية (يتبادر إلى ذهنك Google) تستخدم هذه الأدوات.
أولاً والأهم من ذلك، التأكد من أن هذه القرارات التي يتخذها قسم تكنولوجيا المعلومات يتم تسجيلها في مكان ما.البريد الإلكتروني أو أيا كان.إذا لم تتمكن من القيام بعملك بفعالية بسببها، فتأكد من أن لديك ما يكفي من الوثائق لإعادة توجيه اللوم إلى حيث ينتمي.
انظر إلى ما هو أبعد من تكنولوجيا المعلومات.ربما يتبع مسؤول النظام لديك القواعد الموضوعة في مكان آخر بالشركة، عادةً ما يكون قسمًا قانونيًا.إذا كان الأمر كذلك، فقد يكون لديك محامي شركة لا يعرف شيئًا عن البرمجيات أو البرمجيات الحرة والمفتوحة المصدر يتفاعل مع رد فعل محامي الشركة النموذجي تجاه المجهول - امنع ذلك.بعد إثبات فوائد التكلفة والأمان، قد تحتاج إلى أن تطلب من الشركة التواصل مع خبير قانوني في مجال البرمجيات الحرة والمفتوحة المصدر.
أنت تتحدث عن مسؤولي Windows.ما عليك سوى الإشارة إلى كيفية تعامل MSFT مع مشكلات الأمان الأخيرة (مثل ثغرات IE الأخيرة التي تحتوي على وسائط رئيسية تطلب من الأشخاص استخدام متصفحات بديلة) واسأل كيف يمكن أن يكون OSS أسوأ من ذلك.
إذا كان لديك الكود المصدري لـ (وتفهم اللغة التي تقف وراءه تقريبًا) فاطلع على الكود وحاول العثور على أي مشكلات أمنية قد تعرض كلمات المرور/المعلومات للخطر.إذا أمكن، قم بتجميع نسختك الخاصة من الكود المصدري بعد الاطلاع على الكود، فقط لتكون آمنًا.
