Что то здесь не так в этом событии 🤔 А центры прозрачности тогда зачем открывать?

http://www.dailycomm.ru/m/46644/

Центры прозрачности открывают не для этого

Но одна из возможностей (которой таки могу и воспользоваться) это:

...а также организация площадки, на которой клиенты и партнеры могут тестировать и проверять решения компании.

У Huawei открыты подобные центры кибербезопасности в Великобритании и Германии, где компания предлагает клиентам и властям взглянуть на исходные коды своих продуктов и посмотреть на то, как производитель защищает свои технологии от киберугроз.

Антон, давай не начинать эту дискуссию 😊 У нас центры прозрачности существуют дольше, чем у вас и китайцев вместе взятых 😊  Оно работает совсем не так, как пишут в пресс-релизах

Мне кажется странной ситуация когда компания годами не закрывает бэкдор и готова дать продукт на проверку. Эта проверка может попросить проверить этот бэкдор. Я бы попросил на месте целевой аудитории этих центров прозрачности. Кто-нибудь оказался бы не прав. Либо газеты/исследователи, либо вендор.

"У нас" это у Cisco? Cisco же не виновата в имплантах, это их "подбросили" нехорошие люди в цепочке поставок, вроде так? :)

Именно 😊 Так все и было. И никакой центр не способен такой вектор выявить, кстати 😊

Ааа, я понял, так может и хуваею "побросили", хм 🤔

Не, тут же именно в чипе и давно 😊

В таких центрах дают посмотреть код не всем, не всегда, и с кучей ограничений. А если сюда еще добавить, что 99,99% заказчиков вообще не способно анализировать не только системотехнику, но даже и код, то центр прозрачности - это чистый PR (сугубо личное мнение высказываю :-)

Согласен про PR! Но риск для нечистоплотного вендора остаётся  что найдутся зануды которые докопаются, хоть получается и не большой. Но я не участвовал в таких процессах. Поэтому дальше спекулировать не буду

По разным данным, во время оценки исходников проверяется обычно 40-45% ветвлений кода. Если совсем напрячься, то около 70%. Поэтому даже профи не могут проверить все, а уж любители и подавно.

Не, ну речь то про аппаратные бэкдоры? Да? А сертификация и аттестация как происходит? Что проверяют?

И как бэ.... Ну, есть мнение у ресёрчеров... Что каждый производитель элементной базы  инжектит свои бэкдоры...

Это и китайские производители, и американские...

Но так глубоко импортное оборудование для низко критичных систем и applications никто не ресёрчит.

То есть, это данность, с которой мы живём. Да?

И чо, мы типа к этому готовы? Прокачены фремворками международными, да?  Бэст практис и вот это всё?

Чот я к статейкам про блэкаут для кремля начинаю подругому относиться...

Сейчас ФСТЭК готовит требования для проверок железа