Wie kann ich überzeugen IT, dass F / OSS-Software ist nicht böse? [geschlossen]

StackOverflow https://stackoverflow.com/questions/375678

  •  22-08-2019
  •  | 
  •  

Frage

Beim Versuch, einige gut etablierten Werkzeuge, um meine Firma Active Directory zu verknüpfen, schlug ich eine Straßensperre. Mir wurde gesagt, dass:

  

"Sorry, ich kann nicht unserem Domain-Admin-Passwort [F / OSS] Software vertrauen ...".

Diese Frage beschäftigt sich speziell mit , wie es zu überzeugen, dass F / OSS-Software ist nicht (automatisch) weniger vertrauenswürdig als jede andere Software, nur weil es frei / oss ist .

Mir geht es gut mit der Annahme OSS-Software (Ich bin ein Linux ninja am Herzen liegt), so dass es anders auszudrücken: Wie kann ich fördern die Akzeptanz von OSS in meinem Unternehmen ?

Das technische Problem der ohne Admin-Konto in AD binden ist für eine andere Stelle.

EDIT:

Ich habe eine Klarstellung zu diesen Themen. Das hat wirklich wenig mit dem Active Directory zu tun und alle mit Vertrauen von F / OSS im Allgemeinen zu tun. Deshalb denke ich, meine ursprüngliche bolded Fragen nach wie vor gültig sind, nur den Teil über die „Admin-Passwort“ zu ignorieren.

War es hilfreich?

Lösung

Jede IT Person ihr Salz wert wird gut sein, sich der Vorteile von Open-Source-Software.

Die Antwort, die wie eine Palme off Antwort, die ich gegeben Klänge ist, einige Möglichkeiten, warum sie nicht wollen, zu implementieren, könnte es sein:

  • Möglicher Mangel an betrieblicher Ebene Unterstützung für diese spezielle Software Open-Source-Software
  • Nicht Nicht-IT-Abteilung Mitarbeiter wollen das aktive Verzeichnis zu modifizieren (Sie)
  • Die Software, die Sie gefunden haben, nicht die Anerkennung in der Branche haben, dass andere ähnliche Produkte haben
  • Es gibt keine empfundenen Nutzen für die IT-Abteilung für die Arbeit, die es ihnen (sowohl bei der ersten Einrichtung und laufende Wartung)
    • zu tun erfordern würde

Andere Tipps

Ich arbeite als Sysadmin. Aus meiner Sicht ist diese Frage nicht zu speziell Open Source Software zu vertrauen. Ihre IT mitgeteilte einen speziellen Fall sagen, dass er es nicht traute mit den Domain-Admin-Benutzername und Passwort ein. Ich glaube, er mit der Software betroffen sein können, dass Benutzernamen und ein Passwort zu speichern. Wenn das in der Tat ist, wie es funktioniert würde ich den Antrag auf Open Source oder kommerzielle Software verweigern. Keine richtig Setup System sollte muß die Domain-Admin-Benutzername und das Passwort speichern, möglicherweise ein Konto mit niedrigeren Anmeldeinformationen, oder je nach Werkzeug, wenn es interaktiv ist hat es Setup für Anmeldeinformationen zur Laufzeit und authentcate gegen die Domain zu stellen.

Unterm Strich müssen Sie mit IT arbeiten, um ein besseres Verständnis für Ihre und ihre Bedürfnisse zu kommen. Dinge müssen nicht immer nur ein Ja oder Nein Problem sein.

Ich würde versuchen, es so aus:

Warum sollte Open-Source-Software sein, weniger vertrauenswürdig als es in der Nähe-sourced gleichwertig? Wenn überhaupt, würde die Transparenz seines Codes verlangen, dass es noch mehr vertrauenswürdig, in Bezug auf die privaten Datenspeicherung wie Passwörter, da jeder Versuch zu untergraben sie durch die Untersuchung des Quellcodes auffindbar sein würde.

Dies ist natürlich nur dann gültig, wenn das Unternehmen der Quelle selbst erstellt und vertraut nicht einer Binärdistribution.

fragen, ob sie die Lizenz gelesen haben, , da das ist, was sie zu widersprechen. Bitten Sie sie, speziell, was in der Lizenz ein Problem für sie ist. Wenn das, was sie wirklich wider Open Source Software ist, dann ist das ein anderes Thema aus der GPL widersteht.

Warum nicht als nicht Domain-Administrator ausführen? Ich kann verstehen, warum sie nicht wollen, ein Domain-Admin-Passwort für jede Software geben. Vor allem, wenn es nur eine „Domain Admin“ -Konto.

Wie über Sie bestimmen genau die Berechtigungen erforderlich, um die Software laufen zu lassen und fordern Sie ein neues Konto nur mit den Berechtigungen. Sie können sie überzeugen diese in einem anderen OU zu setzen, mit zusätzlicher Revision. Wenn die Software Wert bietet, werden Sie einen Prozess für sie zu „audit“ zu schaffen und entscheiden, OSS zu vertrauen.

Identifizieren Sie genau das, was er nicht über F / OSS-Software vertrauen können und dann können Sie Ihre Erklärung zuzuschneiden auf seine Bedenken auszuräumen.

  • Ist es Besorgnis über Backdoors ist codiert in?
  • Ist es Besorgnis über die Qualität des Codes, die zu Sicherheitsrisiken führen?
  • Ist es Besorgnis darüber, wie schnell Sicherheitsrisiken werden behoben werden?

"wie zu überzeugen IT, dass F / OSS-Software ist nicht (automatisch) weniger vertrauenswürdig als jede andere Software, nur weil es frei / oss ist."

„Wie kann ich die Akzeptanz von OSS in meinem Unternehmen zu fördern?“

Sie können es nicht.

Alles, was Sie tun können, ist die folgende.

  1. Hier finden Sie die F / OSS sie derzeit verwenden. Das kann hart sein. In einigen Fällen ist es trivial, weil viele Leute Apache und Java nutzen, ohne darüber nachzudenken.

  2. Fragen Sie, wie ist das, was Sie gehen anders zu verwenden als das, was sie bereits mit?

Das wird der Fall für genau ein neues Stück von F / OSS machen. Oder werden sie verrückt und verbannen Dinge, die sie verwendet haben.

Sie können nicht ein allgemeines Verständnis geschehen. Sie können nur dann den Fall einen bestimmten detaillierten Fall zu einem Zeitpunkt machen, bis jemand anderes beginnt das große Bild Stück zusammen auf eigener Faust.

Manchmal sind sie nicht, manchmal sind sie. Sie müssen Beweise zu sichern Sie Ihre Gedanken.

.

CVE-Nummern liegen nicht Zum http: //cve.mitre. org / , http://www.securityfocus.com/bid/ , < a href = „http://www.secunia.com“ rel = „nofollow noreferrer“> http://www.secunia.com und kommerzielle und OSS Version der gleichen Linie von Produkten vergleichen, die Sie würde wählen.

Sehen Sie, welche besser ist manchmal ist es die Tatsache, dass das OSS-Produkt wie PHPNuke wirklich Müll ist, aber manchmal ist es verdammt gut, wenn es um Sicherheit wie qmail kommt.

Auch vergessen Sie nicht, dass Sie eine OSS-Lösung wählen müssen, die eine gute Gemeinschaft bekamen sonst könnte man das Projekt ist tot nach einem Jahr sehen. dies ist möglich in der kommerziellen Welt, aber seien wir ehrlich weniger wahrscheinlich

würde ich die Beweislast auf IT setzen, ihren Fall zu beweisen. Einfach fragen: „Warum nicht?“, Oder möglicherweise „welche Beweise haben Sie, dass dies nicht weniger sicher als Nicht-GPL-Software ist?“. Wenn sie eine Erklärung geben versuchen, können Sie einige der anderen Vorschläge, um ihre Missverständnisse ihnen zu erklären. Wenn sie nur hartnäckig ihren Boden stehen, stehen sie im Weg Sie Ihren Job zu tun - und für keinen guten Grund. Sanft ihnen erklären, wie Sie unglaublichen Wert (dh frei) Software, die den Wert der Firma hinzufügt, gefunden haben und dass Sie die höheren Ebenen des Managements sind sicher, dass Sie in Anspruch nehmen möchte. Hoffentlich wird dies daran erinnern, sie haben keine Beweise. Wenn auch nicht dies und es ist wichtig, könnten Sie dann nehmen Sie es von Management zu höheren Ebenen, aber mit Vorsicht vorgehen, da es ein sicherer Weg, den Feinde zu machen.

Welche Werkzeuge wollen Sie benutzen? Machen Sie den Business Case, wie viel Zeit / $$ wird durch die Verwendung dieser Tools gespeichert werden. Geben Sie Beispiele von anderen, sehr erfolgreichen Unternehmen (Google in den Sinn kommt), die diese Tools verwenden.

Zuerst und am wichtigsten ist, stellen Sie sicher, dass diese Entscheidungen von IT irgendwo aufgezeichnet werden. E-Mail oder was auch immer. Wenn Sie Ihre Arbeit erledigen kann effektiv, weil von ihnen, stellen Sie sicher, dass Sie genug Dokumentation haben die Schuld umgeleitet, wo es hingehört.

Blick über IT. Ihre Sysadmin Regeln festgelegt werden folgende möglicherweise nach unten irgendwo sonst in der Gesellschaft, in der Regel eine Rechtsabteilung. Wenn das der Fall ist, können Sie einen Anwalt des Unternehmens haben, der nicht weiß über Software oder FOSS mit einem Firmenanwalt typische Reaktion auf die unbekannte reagieren - es verbieten. Nachdem Sie Kosten und Sicherheitsvorteile gezeigt haben, müssen Sie das Unternehmen fragen, im Bereich der FOSS zu einem Rechtsexperten zu erreichen.

Sie sprechen von Windows-Administratoren. weist darauf hin, wie MSFT jüngste Sicherheitsfragen behandelt hat (wie die letzten IE Löcher, die Mainstream-Medien sagen die Menschen haben alternativen Browser zu verwenden) und frage, wie OSS schlechter sein kann.

Wenn Sie den Quellcode für (und verstehen, etwa die Sprache dahinter) geht durch den Code und versuchen, alle Sicherheitsprobleme zu finden, die möglicherweise Passwörter / Informationen gefährden könnten. Wenn Sie können, Ihre eigene Version des Quellcodes kompilieren, nachdem Sie über den Code haben gesucht, nur um sicher zu sein.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top