Než hodnotit dodavatele infrastruktury podle kritéria důvěryhodný/nedůvěryhodný, případně je špión/není špión mi připadá rozumnější posuzovat, zda dává ke svým zařízením zdrojové kódy, tedy open source/closed source..
zda dává ke svým zařízením zdrojové kódy
Jak ověříte, že ty dodané zdrojové kódy odpovídají kódům v dodaných zařízeních? Budete to ověřovat při každé aktualizaci?
A co když to udělají hardwarově? Např. nějakým speciálních schovaným čipem, co se aktivuje pouze za speciálních okolností, takže bude oddělený a nikde v ovladači nemusí být zmíněn? Budou muset open-sourcovat i hardware? A jak se ověří, že vnitřek čipu odpovídá specifikaci?
i do zdrojových kódů můžeš propašovat zadní vrátka a nemusí to být na první a ani na druhý pohled vidět, i v tomhle případě potřebuješ k dodavateli určitou základní důvěru.
To ale nic neřeší. Můžete mít v hw zadní vrátka a ze zdrojaku nic nevyctete Dokonce můžete dostat schéma od hw až na úroveň designu chipů a přesto ten backdoor nenajdete.
ČLÁNKY DO MAILU