Thứ Năm, 29 tháng 3, 2012

Tòa Tối cao Mỹ được yêu cầu rà soát lại phán quyết các bằng sáng chế phần mềm


US Supreme Court asked to review software patents ruling
9 March 2012, 13:23
Bài được đưa lên Internet ngày: 09/03/2012
Lời người dịch: Trích đoạn từ bài viết về hệ thống bằng sáng chế phần mềm của Mỹ ngày nay: “Tổ chức các quyền dân sự Quỹ Biên giới Điện tử EFF, Hiệp hội Công nghiệp Máy tính và Truyền thông (CCIA), và công ty nguồn mở Red Hat đã thúc giục Tòa Tối cao Mỹ đưa ra các chỉ dẫn tiếp theo về tính có thể trao bằng sáng chế của phần mềm và các sáng chế dựa vào máy tính. Họ đã yêu cầu Tòa án Tối cao làm rõ điểm tại đó một ý tưởng trở nên quá trừu tượng để được trao bằng sáng chế, nói rằng pháp luật hiện hành trong lĩnh vực này là không nhất quán, gây lẫn lộn và cản trở sự tiến bộ trong các lĩnh vực Internet và máy tính”. “Tuy nhiên, trong các trường hợp khác, tòa án đã có xu hướng xem xét các qui trình khá trừu tượng như là hợp pháp để trao bằng sáng chế. EFF nói rằng, hệ quả là, không chuyên gia pháp lý nào cũng không công chúng nói chung nào có thể hiểu được hiện nay khi nào những sáng kiến dựa vào máy tính có khả năng được trao bằng sáng chế và khi nào thì không. EFF đã bổ sung rằng điều này tạo ra nhiều sự không chắc chắn về pháp lý cho cả những người nắm giữ các bằng sáng chế và các lập trình viên và những người thiết kế các hệ thống CNTT, những người có thể nhận được những mối đe dọa có liên quan tới các bằng sáng chế đó”.
Tổ chức các quyền dân sự Quỹ Biên giới Điện tử EFF, Hiệp hội Công nghiệp Máy tính và Truyền thông (CCIA), và công ty nguồn mở Red Hat đã thúc giục Tòa Tối cao Mỹ đưa ra các chỉ dẫn tiếp theo về tính có thể trao bằng sáng chế của phần mềm và các sáng chế dựa vào máy tính. Họ đã yêu cầu Tòa án Tối cao làm rõ điểm tại đó một ý tưởng trở nên quá trừu tượng để được trao bằng sáng chế, nói rằng pháp luật hiện hành trong lĩnh vực này là không nhất quán, gây lẫn lộn và cản trở sự tiến bộ trong các lĩnh vực Internet và máy tính.
Vụ việc hiện hành xét lại xung quanh Ultramercial kiện site video của Hulu và nhà cung cấp trò chơi WildTangent. Công ty ở California này chuyên về quảng cáo trực tuyến và đã tố cáo cả 2 hãng nền tảng Internet vi phạm bằng sáng chế Mỹ số 7,346,545.
Bằng sáng chế đó bảo vệ một phương pháp cho việc hiển thị các quảng cáo trước khi nội dung trực tuyến có bản quyền được hiển thị. Trong cuộc tranh cãi, Tòa án Phúc thẩm vòng Liên bang tại Washington, có trách nhiệm trong vấn đề này, đã từ chối nghe lại vụ kiện. Theo EFF, Tòa vòng Liên bang đã thừa nhận rằng “chỉ là ý tưởng mà việc quảng cáo có thể được sử dụng như một dạng tiền tệ là trừu tượng”, đã thấy rằng khi ý tưởng đó “có thể” đòi hỏi “làm khó hiểu và phức tạp cho chương trình máy tính”, nó không còn là trừu tượng nữa.
EFF có quan tâm rằng việc phán xét có thể làm cho có khả năng giành được các bằng sáng chế mà nếu không những ý tưởng trừu tượng không có khả năng được cấp bằng sáng chế bằng việc sử dụng các phương pháp dựa vào Internet. Tổ chức này nói rằng “các tòa án... đã tiếp tục làm rối tiêu chuẩn cho những gì có khả năng được cấp bằng sáng chế trong vụ Bilski” - phán quyết của Tòa án Tối cao về các bằng sáng chế phần mềm và về sự bảo vệ các thực tiễn kinh doanh trong tranh luận về khiếu nại của lập trình viên Bernard Bilski. Trong năm 2010, Tòa án Tối cao Mỹ đã phán quyết rằng “kiểm thử của máy hoặc biến đổi” được sử dụng bởi các thẩm phán Tòa vòng Liên bang có thể không được sử dụng như sự kiểm thử duy nhất tính hợp pháp của bằng sáng chế của một “đổi mới sáng tạo dựa vào qui trình”.
Sau quyết định đó, Tòa Phúc thẩm đã hạn chế xa hơn nữa các bằng sáng chế phần mềm trong 2 trường hợp. Tuy nhiên, trong các trường hợp khác, tòa án đã có xu hướng xem xét các qui trình khá trừu tượng như là hợp pháp để trao bằng sáng chế. EFF nói rằng, hệ quả là, không chuyên gia pháp lý nào cũng không công chúng nói chung nào có thể hiểu được hiện nay khi nào những sáng kiến dựa vào máy tính có khả năng được trao bằng sáng chế và khi nào thì không. EFF đã bổ sung rằng điều này tạo ra nhiều sự không chắc chắn về pháp lý cho cả những người nắm giữ các bằng sáng chế và các lập trình viên và những người thiết kế các hệ thống CNTT, những người có thể nhận được những mối đe dọa có liên quan tới các bằng sáng chế đó.
(Stefan Krempl / fab)
The Electronic Frontier Foundation (EFF) civil rights organisation, the Computer and Communications Industry Association (CCIA), and open source company Red Hat have urged the US Supreme Court to provide further guidelines on the patentability of software and computer-based inventions. They have asked the Supreme Court to clarify the point at which an idea becomes too abstract to be patented, saying that current legislation in this area is inconsistent, confusing and impedes progress in the internet and computer fields.
The current case revolves around Ultramercial suing the Hulu video site and the WildTangent games provider. The Californian company specialises in online advertising and has accused both internet platforms of violating its US patent number 7,346,545.
The patent protects a method for displaying ads before copyrighted online content is displayed. In the dispute, the Court of Appeals for the Federal Circuit in Washington, which is in charge of the matter, has refused to rehear the case. According to the EFF, the Federal Circuit Court admitted that "the mere idea that advertising can be used as a form of currency is abstract", yet found that when that idea would "likely" require "intricate and complex computer programming", it was no longer abstract.
The EFF is concerned that the ruling could make it possible to obtain patents for otherwise unpatentable abstract ideas by using internet-based methods. The organisation said that "the courts ... have continued to confuse the standard for what is patentable in the wake of Bilski" – the Supreme Court's ruling on software patents and on the protection of business practices in the dispute about a claim by programmer Bernard Bilski. In 2010, the US Supreme Court ruled that the "machine-or-transformation test" used by the Federal Circuit judges could not be used as the sole test of the patent eligibility of a "process-based innovation".
After the decision, the Court of Appeals further restricted software patents in two cases. In other cases, however, the court has tended to regard relatively abstract processes as patent-eligible. The EFF said that, consequently, neither legal experts nor the general public can currently understand when computer-based inventions are patentable and when they aren't. The EFF added that this creates a lot of legal uncertainty for both patent holders and the programmers and IT system designers who may receive legal threats related to those patents.
(Stefan Krempl / fab)
Dịch tài liệu: Lê Trung Nghĩa

Giấy phép mới cho phần cứng nguồn mở


A new licence for open source hardware
27 March 2012, 10:55
Bài được đưa lên Internet ngày: 27/03/2012
Lời người dịch: Lại một giấy phép phần cứng nguồn mở nữa được ra đời, dựa vào Giấy phép Apache 2.0 của phần mềm tự do nguồn mở. Trước đó đã có 2 giấy phép của phần cứng nguồn mở là “Giấy phép Phần cứng Mở CERN và Giấy phép Phần cứng Mở TAPR (CERN Open Hardware Licence và the TAPR Open Hardware License) - và cả 2 đều là các giấy phép copyleft”. Xem thêm: “Open Hardware”.
Luật sư về sở hữu trí tuệ (IP) Andrew Katz đã công bố một giấy phép mới của phần cứng nguồn mở. Giấy phép Phần cứng Solderpad dựa vào và tương thích với Giấy phép Apache 2.0 và có cùng các mục tiêu, nhưng là nhằm chuyên cho phần cứng.
Theo Katz, hiện chỉ có 2 giấy phép được thiết kế cho phần cứng nguồn mở - Giấy phép Phần cứng Mở CERN và Giấy phép Phần cứng Mở TAPR ( CERN Open Hardware Licence và the TAPR Open Hardware License) - và cả 2 đều là các giấy phép copyleft. Tuy nhiên, ông chỉ ra rằng phần cứng và phần mềm là khác nhau và copyleft của phần cứng là rất không khả thi trên cơ sở “rằng chi phí khác nhau giữa việc áp dụng GPL và việc thiết kế xung quanh nó (cho phần mềm) là lớn hơn nhiều so với sự khác biệt chi phí trong việc làm giả giấy phép phần cứng copyleft”. Điều này vì thực tế rằng thường dễ dàng hơn nhiều để làm giả các giấy phép copyleft phần cứng khi không có bản quyền trong các triển khai cài đặt phần cứng trong hầu hết các quyền tài phán.
Việc loại bỏ khỏi điều này của Katz là không phải để cố gắng ép tuân thủ copyleft mà để tạo một giấy phép phần cứng tùy ý thay vào đó. Về điểm này, ông đã sửa Giấy phép Apache 2.0, mà đã nổi tiếng và được tôn trọng, để áp dụng tốt hơn cho phần cứng.
Giấy phép mới hiện đang được vài tổ chức chứng thực và Katz đang xin các bình luận về nó. Kể từ khi nó được công bố, một rà soát lại giấy phép gốc ban đầu đã được xuất bản.
IP lawyer Andrew Katz has announced a new open source hardware licence. The Solderpad Hardware License is based on and compatible with the Apache 2.0 License and has the same goals, but is aimed specifically at hardware.
According to Katz, there are currently only two licences designed for open source hardware – the CERN Open Hardware Licence and the TAPR Open Hardware License – and both are copyleft licences. He points out that hardware and software are different, however, and that hardware copyleft is not very feasible on the grounds "that the cost differential between adopting the GPL and designing around it (for software) is vastly greater than the cost differential in circumventing a copyleft hardware licence." This is due to the fact that it is generally a lot easier to circumvent hardware copyleft licences since there is no copyright on hardware implementations in most jurisdictions.
Katz's takeaway from this was to not try to enforce copyleft but to create a permissive hardware licence instead. To that end, he modified the Apache 2.0 License, which is already well known and respected, to better apply to hardware.
The new licence is currently being certified by several organisations and Katz is soliciting comments on it. Since it was announced, a revision to the original licence has already been published.
(fab)
Dịch tài liệu: Lê Trung Nghĩa

Thứ Tư, 28 tháng 3, 2012

Tấn công KGM và máy bay KNL có thể thay đổi chiến tranh hơn là súng máy


Cyber and drone attacks may change warfare more than the machine gun
By Ross Andersen, The Atlantic 03/23/2012
Bài được đưa lên Internet ngày: 23/03/2012
Air Force
Lời người dịch: Trích đoạn: “Chúng ta quen nghĩ về chiến tranh như một hiện tượng vật lý, như một cơn bùng phát vũ lực phá hủy diễn ra trong thế giới vật lý. Đạn bay, bom nổ, xe tăng chạy, người sụp đổ. Bất chấp những thay đổi to lớn trong công nghệ chiến tranh, nó vẫn là một cuộc thi của các cơ thể con người. Nhưng như máy bay không người lái đã chỉ ra, điều đó không còn đúng nữa, ít nhất về một phía của cuộc chiến”.
Từ các cuộc tấn công KGM do nhà nước bảo trợ cho tới các vũ khí người máy tự điều khiển, chiến tranh của thế kỷ 21 ngày một kỳ lạ. Các cuộc chiến tranh của chúng ta đang được chiến đấu trong bầu trời và bằng các máy. Và vâng đạo đức của chúng ta về chiến tranh bị kẹt trng kỷ nguyên số sơ khai.
Chúng ta quen nghĩ về chiến tranh như một hiện tượng vật lý, như một cơn bùng phát vũ lực phá hủy diễn ra trong thế giới vật lý. Đạn bay, bom nổ, xe tăng chạy, người sụp đổ. Bất chấp những thay đổi to lớn trong công nghệ chiến tranh, nó vẫn là một cuộc thi của các cơ thể con người. Nhưng như máy bay không người lái đã chỉ ra, điều đó không còn đúng nữa, ít nhất về một phía của cuộc chiến.
Hãy đọc câu chuyện đầy đủ tại The Atlantic.
From state-sponsored cyber attacks to autonomous robotic weapons, twenty-first century war is increasingly disembodied. Our wars are being fought in the ether and by machines. And yet our ethics of war are stuck in the pre-digital age.
We're used to thinking of war as a physical phenomenon, as an outbreak of destructive violence that takes place in the physical world. Bullets fly, bombs explode, tanks roll, people collapse. Despite the tremendous changes in the technology of warfare, it remained a contest of human bodies. But as the drone wars have shown, that's no longer true, at least for one side of the battle.
Read the full story at The Atlantic.
Dịch tài liệu: Lê Trung Nghĩa

Mã độc trong chuỗi cung ứng CNTT đe dọa các hoạt động của liên bang


Malicious code in the IT supply chain threatens federal operations
By Joseph Marks 03/23/2012
Bài được đưa lên Internet ngày: 23/03/2012
Lời người dịch: Đối với các bộ trong Chính phủ Mỹ hiện nay, việc mua sắm CNTT với các thiết bị, phần mềm và dịch vụ từ nước ngoài là một mối lo. Bài báo viết: “Các cơ quan liên bang được yêu cầu theo dõi mức độ mà mạng lưới viễn thông của họ có chứa thiết bị, phần mềm hoặc dịch vụ do nước ngoài phát triển, một báo cáo của Văn phòng Kiểm toán Chính phủ nói, và họ thường chỉ nhận thức được về các nhà cung cấp CNTT gần nhất với họ trong chuỗi cung ứng, chứ không phải vô số các nhà cung cấp bên dưới. Điều đó đã làm cho các hệ thống CNTT tại các bộ Năng lượng An ninh Nội địa và Tư pháp có khả năng bị tổn thương nhiều hơn đối với các phần mềm độc hại hoặc giả được các cơ quan tình báo quốc gia khác hoặc các tác nhân và các tin tặc phi nhà nước cài đặt. Kẻ địch của Mỹ có thể sử dụng các phần mềm độc hại đó để lôi một cách bí mật các thông tin từ các hệ thống của chính phủ, xóa hoặc sửa thông tin trong các hệ thống đó, hoặc thậm chí kiểm soát chúng từ xa”. Nếu ở Việt Nam mà ngăn chặn các thiết bị, phần mềm và dịch vụ do nước ngoài phát triển thì ta sử dụng CNTT như thế nào nhỉ?
Các cơ quan làm việc với các dữ liệu và chương trình an ninh quốc gia phải làm nhiều hơn để đảm bảo an ninh cho các chuỗi cung ứng CNTT của họ, một người bảo vệ chính phủ nói hôm thứ sáu.
Các cơ quan liên bang được yêu cầu theo dõi mức độ mà mạng lưới viễn thông của họ có chứa thiết bị, phần mềm hoặc dịch vụ do nước ngoài phát triển, một báo cáo của Văn phòng Kiểm toán Chính phủ nói, và họ thường chỉ nhận thức được về các nhà cung cấp CNTT gần nhất với họ trong chuỗi cung ứng, chứ không phải vô số các nhà cung cấp bên dưới.
Điều đó đã làm cho các hệ thống CNTT tại các bộ Năng lượng An ninh Nội địa và Tư pháp có khả năng bị tổn thương nhiều hơn đối với các phần mềm độc hại hoặc giả được các cơ quan tình báo quốc gia khác hoặc các tác nhân và các tin tặc phi nhà nước cài đặt.
Kẻ địch của Mỹ có thể sử dụng các phần mềm độc hại đó để lôi một cách bí mật các thông tin từ các hệ thống của chính phủ, xóa hoặc sửa thông tin trong các hệ thống đó, hoặc thậm chí kiểm soát chúng từ xa.
Bộ Tư pháp đã xác định các biện pháp bảo vệ chuỗi cung ứng của mình như đã không phát triển các thủ tục để triển khai các biện pháp đó, báo cáo nói. Bộ Năng lượng và An ninh Nội địa đã không xác định các biện pháp bảo vệ các chuỗi cung ứng của họ hoàn toàn, theo GAO.
Cơ quan theo dõi này cũng đã xác định Bộ Quốc phòng, mà đã nói đã thiết kế và triển khai có hiệu quả một chương trình quản lý rủi ro chuỗi cung ứng.
Bộ Quốc phòng đã giảm rủi ro các chuỗi cung ứng của mình thông qua một loạt các chương trình thí điểm và mong đợi có “khả năng hoạt động đầy đủ cho quản lý rủi ro chuỗi cung ứng” vào năm 2016, báo cáo nói. Những dự án thí điểm đó tập trung vào việc đánh giá rủi ro được đặt ra từ các chuỗi cung ứng của các nhà cung cấp đặc biệt và trong việc kiểm thử và đánh giá các hệ thống được mua đối với các thành phần độc hại, GAO nói.
Agencies that deal with national security data and programs must do more to secure their information technology supply chains, a government watchdog said Friday.
Federal agencies aren't required to track "the extent to which their telecommunications networks contain foreign-developed equipment, software or services," the Government Accountability Office report said, and they typically are aware only of the IT vendors nearest to them on the supply chain, not the numerous vendors downstream.
That has left IT systems at the Energy, Homeland Security and Justice departments more vulnerable to malicious or counterfeit software installed by other nations' intelligence agencies or by nonstate actors and hackers.
U.S. enemies could use that malicious software to secretly pull information from government systems, erase or alter information on those systems, or even take control of them remotely.
The Justice Department has identified measures to protect its supply chain but has not developed procedures to implement those measures, the report said. Energy and Homeland Security haven't identified measures to protect their supply chains at all, according to GAO.
The watchdog agency also examined the Defense Department, which it said had designed and effectively implemented a supply chain risk management program.
Defense has reduced its supply chain risk through a series of pilot programs and expects to have "full operational capability for supply chain risk management" by 2016, the report said. Those pilots focus both on assessing the risk posed by particular vendors' supply chains and on testing and evaluating the purchased systems for malicious components, GAO said.
Đội Ứng cứu Khẩn cấp Máy tính Mỹ (US CERT) trong Bộ An ninh Nội địa đã thấy rằng khoảng 1/4 vụ việc an ninh được các cơ quan báo cáo trong số 43.000 vụ trong năm tài chính 2011 có liên quan tới mã độc có thể đã được cài đặt ở đâu đó cùng với chuỗi cung ứng, GAO nói.
Mua phần cứng CNTT nguồn gốc toàn cầu có thể chứng minh là lúng túng đối với các cơ quan mà làm việc với các dữ liệu an ninh quốc gia thậm chí nếu không có công nghệ độc hại hoặc hàng giả bên trong các máy.
Ví dụ, Chỉ huy Tác chiến Đặc biệt của Không quân đã hoãn một vụ mua sắm iPad trong kế hoạch vào tháng hai, 2 ngày sau khi nhận được một yêu cầu từ Nextgov về phần mềm đọc tài liệu và an ninh được chỉ định trong các tài liệu mua sắm.
Việc theo dõi nguồn gốc công nghệ của liên bang đã bị các cấu trúc sở hữu phức tạp của các nhà cung cấp CNTT đa quốc gia làm phức tạp thêm, mà đôi khi được sở hữu trong một quốc gia, thuê ngoài đối với CNTT của họ tại quốc gia khác và sản xuất nó tại một quốc gia thứ 3, GAO nói.
Báo cáo đã khuyến cáo rằng các quan chức Bộ Năng lượng và An ninh Quốc gia phát triển và triển khai các thủ tục mạnh để bảo vệ chống lại những mối đe dọa của các chuỗi cung ứng. Cơ quan giám sát này đã khuyến cáo rằng tất cả 3 bộ phát triển các thủ tục giám sát để đảm bảo các thực tiễn quản lý chuỗi cung ứng của họ là có hiệu quả. Các bộ đã đồng ý với các đánh giá của GAO, báo cáo nói.
The U.S. Computer Emergency Readiness Team inside DHS has found that about one-fourth of roughly 43,000 agency-reported security incidents during fiscal 2011 involved malicious code that could have been installed somewhere along the supply chain, GAO said.
Globally sourced IT hardware buys can prove embarrassing for agencies that deal with national security data even if there's no malicious or counterfeit technology inside the machines.
The Air Force Special Operations Command, for instance, canceled a planned iPad acquisition in February, two days after receiving a query from Nextgov about Russian-developed security and document reading software specified in the procurement documents.
Tracking the origins of federal technology has been complicated by the complex ownership structures of multinational IT suppliers, which sometimes are owned in one nation, source their IT in another nation and manufacture it in a third nation, GAO said.
The report recommended that Energy and Homeland Security officials develop and implement firm procedures to protect against supply chain threats. The watchdog recommended that all three departments develop monitoring procedures to ensure their supply chain management practices are effective. The departments largely agreed with GAO's assessments, the report said.
Dịch tài liệu: Lê Trung Nghĩa

Thứ Ba, 27 tháng 3, 2012

Infographic: Drupal kết hợp nguồn mở, tính mở và an ninh như thế nào

Infographic: How Drupal combines open source, openness, and security
Posted 12 Mar 2012 by Jeffrey A. McGuire
Bài được đưa lên Internet ngày: 12/03/2012
Lời người dịch: Bài giải thích về sự kết hợp giữa nguồn mở, tính mở và an ninh của hệ quản trị nội dung (CMS) nguồn mở nổi tiếng nhất thế giới hiện nay, Drupal, với 10 bước. Ai cần bảo vệ và vì sao? Làm thế nào hệ quản trị nội dung (CMS) nguồn mở lớn nhất thế giới kết hợp được tính mở và an ninh. Quan niệm “an ninh vì sự tù mù” đã được chứng minh là hoàn toàn SAI. “an ninh và nguồn mở đi tay trong tay - điều có thể thể như là một sự ngạc nhiên cho những ai giả thiết rằng “an ninh bằng sự tù mù” mới thực sự làm việc. Việc ẩn dấu đằng sau việc cấp phép sở hữu độc quyền hoặc mã nguồn được biên dịch và hy vọng không ai để ý tới các lỗi an ninh còn chưa được giải quyết là một công thức cho thảm họa. Việc có mã nguồn của bạn được mở cho bất kỳ ai có thể làm cho an ninh được cải thiện - bất kỳ ai cũng có thể thấy và sửa một vấn đề. Làm việc với một cộng đồng hàng ngàn lập trình viên làm nhân lên những lợi ích; bất kỳ ai sửa lỗi cũng làm cho lỗi của bạn trở nên được sửa. Các chuyên gia an ninh từ các chính phủ và các công ty lớn trên thế giới bản thân họ thường xuyên soi xét kỹ lưỡng kho mã nguồn của Drupal và đã đánh giá nó an ninh đủ cho các ứng dụng sống còn của họ”. Xem thêm: [01], [02], [03], [04].
Drupal đã trải qua từ phòng ngủ tập thể tới phòng của hội đồng quản trị trong một thập niên kể từ ngày được tạo ra. Nó trang bị cho những hiện diện web của hàng trăm ngàn doanh nghiệp, chính phủ, đại học và các cơ quan khác trên thế giới. Việc phát triển mã nguồn cho Drupal bây giờ có nghĩa là việc viết mã nguồn mà có thể được sử dụng trong bất kỳ site nào. Bất chấp là nó đi từ người chơi theo sở thích hay là dân chuyên nghiệp toàn thời gian, thì mã nguồn của Drupal cũng phải đáp ứng được những yêu cầu an ninh rất nghiệm ngặt của các ngân hàng, các nhà cung cấp y tế, và các chính phủ, trong khi vẫn giữ một bước trước đối với những người cố gắng thâm nhập vào trong các hệ thống như vậy.
An ninh và nguồn mở đi với nhau tay trong tay
Qui trình an ninh của Drupal cần phải được triển khai nhanh chóng và thận trọng để giúp sửa các vấn đề trước khi chúng trở thành được biết hoặc được khai thác một cách rộng rãi. Tuy nhiên, an ninh và nguồn mở đi tay trong tay - điều có thể thể như là một sự ngạc nhiên cho những ai giả thiết rằng “an ninh bằng sự tù mù” mới thực sự làm việc. Việc ẩn dấu đằng sau việc cấp phép sở hữu độc quyền hoặc mã nguồn được biên dịch và hy vọng không ai để ý tới các lỗi an ninh còn chưa được giải quyết là một công thức cho thảm họa. Việc có mã nguồn của bạn được mở cho bất kỳ ai có thể làm cho an ninh được cải thiện - bất kỳ ai cũng có thể thấy và sửa một vấn đề. Làm việc với một cộng đồng hàng ngàn lập trình viên làm nhân lên những lợi ích; bất kỳ ai sửa lỗi cũng làm cho lỗi của bạn trở nên được sửa. Các chuyên gia an ninh từ các chính phủ và các công ty lớn trên thế giới bản thân họ thường xuyên soi xét kỹ lưỡng kho mã nguồn của Drupal và đã đánh giá nó an ninh đủ cho các ứng dụng sống còn của họ.
Who needs protecting and why? How the world's largest open source CMS combines openness and security.
Drupal has gone from dorm room to board room in decade since its creation. It powers the web presences of hundreds of thousands of businesses, governments, universities, and others around the world. Developing code for Drupal now means writing code that could be used on any of those sites. Whether it comes from passionate hobbyist or full-time professional, Drupal's code must meet the very strict security requirements of banks, health-care providers, and governments, while keeping one step ahead of those trying to break into such systems.
Security and open source go hand-in-hand
Drupal's security process does need to be carried out quickly and discreetly to help fix problems before they become widely known or exploited. Nonetheless, security and open source go hand in hand – this may come as a surprise to those who assume that "security by obscurity" actually works. Hiding behind proprietary licensing or compiled code and hoping no one notices security flaws that have not been addressed is a recipe for disaster. Having your code open to anyone can result in greatly improved security – anyone can find and fix a problem. Working with a community of thousands of developers multiplies the benefits; anyone else's bug fix becomes your fixed bug, too. Security experts from the world's governments and largest companies regularly scrutinize Drupal's codebase for themselves and have judged it secure enough for their mission-critical applications.
Công việc bắt đầu trước khi các vấn đề an ninh nảy sinh - nhận thức về an ninh chủ động tích cực
Mã nguồn không an ninh thường bị lỗi từ ban đầu. Có những thực tiễn tốt nhất rằng các lập trình viên nên bám theo để ngăn chặn đại đa số các vấn đề về an ninh ngay từ đầu. Vì lý do này, Đội An ninh Drupal chĩa mũi nhọn không biết mệt vào những nỗ lực đang diễn ra để giáo dục và giúp cho cộng đồng Drupal ngăn chặn các vấn đề an ninh nảy sinh. Họ tiến hành những trình diễn và huấn luyện tại các sự kiện và các hội nghị cộng đồng Drupal, đưa ra các hội thảo web, viết các tài liệu trực tuyến tự do, và duy trì một nhóm chung để thảo luận về các vấn đề có liên quan tới an ninh của Drupal.
Cái gì được hỗ trợ? Nhân Drupal và các module phát hành ổn định
Đội An ninh Drupal hỗ trợ quản lý đại đa số các vấn đề an ninh thông qua dự án Drupal và các module cài cắm được đóng góp của nó. Các module với các phát hành “phát triển” là một ngoại lệ; các module mà không có phát hành ổn định hỗ trợ (“1.0”, “2.1”, ...) không thể nhận được lợi ích của việc giám sát của Đội An ninh. Neus bạn đang xem xét sử dụng một module với chỉ các phát hành “phát triển” hoặc “beta” cho một ứng dụng sống còn, thì khuyến khích người duy trì module đó tạo ra một phát hành “x.0” ổn định, được hỗ trợ.
Về Đội An ninh Drupal
Dự án Drupal đã chính thức hóa sự tồn tại của Đội An ninh vào năm 2005 và quay vòng sự lãnh đạo của đội theo chu kỳ. Mã nguồn không thường “bỗng nhiên trở nên an ninh” được, mà một số vấn đề có thể phảng phất và khó nhận ra. Sự nổi lên của các công nghệ mới có thể làm cho các vấn đề nhìn thấy được theo các cách mới. Nhiều kỹ năng, tri thức và kinh nghiệm làm cho Drupal an ninh nhất có thể. Đội An ninh Drupal bây giờ là trưởng thành, nhóm đa dạng, hiện gồm khoảng 40 chuyên gia an ninh web hàng đầu thế giới (không ai trong số họ là người máy, bất chấp kỹ năng và hiệu quả của họ). Họ giám sát và phân tích các vấn đề mà thu hoạch được “trong các chiến hào” và làm việc để cải thiện an ninh của dự án Drupal. Các thành viên của đội là những người tình nguyện chuyên tâm từ các quốc gia ở 3 châu lục, bao gồm những người sống ở Bỉ, Canada, Anh, Pháp, Đức, Hungary, Iraland, Nhật và Mỹ. Đội này lôi kéo các thành viên từ các nhà tư vấn, các nhà cung cấp dịch vụ Drupal, các nhà thầu chính phủ và những người sử dụng đầu cuối Drupal, bao gồm cả các tổ chức phi lợi nhuận, vì lợi nhuận và giáo dục.
Work begins before security issues arise – proactive security awareness
Insecure code is usually flawed from the start. There are best practices that developers should follow to nip the vast majority of security problems in the bud. For this reason, the Drupal Security Team tirelessly spearheads ongoing efforts to educate and help the Drupal community prevent security issues from arising. They conduct presentations and training at Drupal community events and conferences, give webinars, write free online documentation, and maintain a public group to discuss Drupal security-related issues.
What is supported? Drupal core and stable release modules
The Drupal Security Team assists in handling the vast majority of security issues across the Drupal project and its contributed, plug-in modules. Modules with "development" releases are an exception; modules without a supported stable release ("1.0", "2.1", etc.) cannot receive the benefit of the Security Team's oversight. If you are considering using a module with only "development" or “beta” releases for a critical application, encourage the module's maintainer to create a stable, supported "x.0" release.
About the Drupal Security Team
The Drupal project formalized the existence of its Security Team in 2005 and rotates team leadership periodically. Code doesn't usually "suddenly become insecure", but some issues can be subtle and hard to spot. The rise of new technologies can make problems visible in new ways. A great deal of skill, knowledge and experience goes into making Drupal as secure as possible. The Drupal Security Team is now a mature, diverse group, currently comprising around 40 of the world's leading web-security experts (none of them robots, despite their skill and efficiency). They monitor and analyze problems that crop up "in the trenches" and work to improve the security of the Drupal project. Members of the team are dedicated volunteers from countries across 3 continents, including residents of Belgium, Canada, England, France, Germany, Hungary, Ireland, Japan, and the United States. The team draws members from consultancies, Drupal service providers, government contractors and Drupal's end-users, including non-profit, for-profit and education organizations.
Qui trình đưa ra An ninh
  1. Chỗ bị tổn thương trong mã nguồn được phát hiện. Những người săn lỗi là ở khắp nơi! Bất kỳ ai cũng có thể nhận diện và báo cáo một vấn đề an ninh cho đội, bao gồm bản thân đội đó, những người duy trì các module, Cộng đồng Drupal rộng lớn hơn, các nhà nghiên cứu an ninh có quan tâm trong Drupal, và bạn. Để báo cáo một vấn đề, hãy đọc và tuân theo Cách báo cáo một vấn đề an ninh trên drupal.org.
  2. Vấn đề được báo cáo riêng cho Đội An ninh. Các vấn đề an ninh nên được quản lý một cách bí mật. Một ngoại lệ là nếu một chỗ bị tổn thương yêu cầu các quyền cao cấp hoặc truy cập để khai thác - ví dụ, khả năng để quản trị các bộ lọc hoặc những người sử dụng. Trong những trường hợp đó, Đội An inh khuyến khích những người duy trì các module sửa các vấn đề một cách công khai vì họ không đại diện cho mối đe dọa của riêng mình và họ làm cứng cáp thêm cho hệ thống khi được triển khai. Xem Chính sách Cố vấn An ninh Drupal để có thêm các chi tiết.
  3. Vấn đề được xem xét lại, tác động tiềm tàng tới tất cả các phát hành Drupal được hộ trợ được đánh giá. Có 2 loạt phát hành chính (6.x và 7.x) được hỗ trợ bất kỳ lúc nào. Bạn nên chạy luôn và cập nhật phiên bản hiện hành nhất của các loạt bạn đang sử dụng. Xem Chọn một phiên bản Drupal để có thêm chi tiết.
  4. Nếu mối đe dọa là hiện thực, Đội An ninh được huy động để phân tích. Người duy trì được thông báo.
The Security Release process
  1.  Vulnerability in code discovered. Bug hunters are everywhere! Anyone can identify and report a security issue to the team, including the team itself, module maintainers, the broader Drupal Community, security researchers interested in Drupal, and you. To report an issue, read and follow How to report a security issue on drupal.org.
  2.  Issue reported privately to Security Team. Security issues should be handled confidentially. The one exception is if a vulnerability requires advanced permissions or access to exploit – for example, the ability to administer filters or users. In these cases, the Security Team encourages module maintainers to fix these issues publicly because they don’t represent a threat on their own and they further harden the system when implemented. See the Drupal Security Advisory policy for further details.
  3.  Issue reviewed, potential impact on all supported Drupal releases evaluated. There are two major release series (6.x, 7.x, etc.) supported at any given time. You should always run and update to the most current version of the series you are using. See Choosing a Drupal version for further details.
  4.  If the threat is valid, Security Team mobilized for analysis. Maintainer notified.
  5. Maintainer fixes issue. Security Team provides support. Maintainers, testers, and other interested parties are granted access to the issue on a private, secure issue tracker to collaborate on a solution.
  6. Fixes reviewed and discussed. Steps 4 though 6 are repeated until the Security Team and module maintainer are satisfied the security issue has been addressed.
  7. Code patches created and tested. The new code is tested to make sure it doesn't introduce other security issues or break the module in question.
  8. New, fixed versions made available on Drupal.org
  9. Security advisory written and published via website, newsletter, RSS, Twitter, social media, etc. Sign up for the Drupal security newslett on Drupal.org. Follow @drupalsecurity on Twitter. Follow these RSS feeds for core: http://drupal.org/security/rss.xml and contributed modules: http://drupal.org/security/contrib/rss.xml
  10. New versions deployed on all sites. The "Available updates" report (at admin/reports/updates in Drupal 6.x and 7.x) on your Drupal site will tell you if your Drupal core and contributed module versions are up-to-date and give you download links and release notes for any new versions. Updates are not automatic and need to be carried out regularly to keep your code up-to-date and your site as secure as possible.
  1. Người duy trì sửa vấn đề. Đội An ninh đưa ra sự hỗ trợ. Những người duy trì, kiểm thử, và các bên khác có quan tâm được trao sự truy cập tới vấn đề về người theo dõi vấn đề an ninh, riêng để cộng tác về một giải pháp.
  2. Các sửa lỗi được xem xét lại và được thảo luận. Các bước 4 tới 6 được lặp cho tới khi Đội An ninh và người duy trì module thỏa mãn là các vấn đề đã được giải quyết.
  3. Các bản vá mã nguồn được tạo ra và được kiểm thử. Mã nguồn mở được kiểm thử và chắc chắn nó không đưa ra các vấn đề an ninh khác hoặc làm vỡ module đó theo yêu cầu.
  4. Các phiên bản mới, được sửa lỗi được làm cho sẵn sàng trên Drupal.org.
  5. Tư vấn an ninh được viết và được xuất bản thông qua website, thư tin, RSS, Twitter, phương tiện xã hội, ... Hãy đăng ký cho thư tin an ninh Drupal trên Drupal.org. Hãy theo @drupalsecurity trên Twitter. Hãy theo RSS cấp tin cho nhân tại: http://drupal.org/security/rss.xml và các module được đóng góp tại: http://drupal.org/security/contrib/rss.xml.
  6. Các phiên bản mới được triển khai trên tất cả các site. Báo cáo “Các bản cập nhật sẵn sàng” (ở admin/reports/updates in Drupal 6.x and 7.x) trên site Drupal của bạn sẽ nói cho bạn liệu nhân Drupal của bạn và các phiên bản module được đóng góp có được cập nhật hay không và trao cho bạn các đường liên kết để tải về và các lưu ý phiên bản cho bất kỳ phiên bản mới nào. Các cập nhật là không tự động và cần phải được triển khai thường xuyên để giữ cho mã nguồn của bạn được cập nhật và site của bạn là an ninh nhất có thể
Nếu site Drupal của bạn bị hack hoặc làm mất mặt
Hãy giúp ngăn chặn sự việc không hay này xảy ra cho những người khác! Dù không thể hỗ trợ trong những trường hợp riêng rẽ, Đội An ninh mong muốn nghe về kinh nghiệm của bạn, để bảo vệ tốt hơn cộng đồng Drupal một cách toàn bộ. Bạn có thể sử dụng mẫu template ở trang “Site của tôi đã bị làm mất mặt. Bây giờ là gì?” để cho phép họ biết điều gì đã xảy ra.
Các tài nguyên
Để có thông tin sâu hơn, hãy đọc Báo cáo An ninh Drupal tại http://drupalsecurityreport.org.
Tất cả các tưu vấn an ninh hiện hành cũng như thông tin về cách đăng ký vào thư tin an ninh của Drupal, hãy liên hệ đội an ninh, và hơn nữa được liệt kê tại http://drupal.org/security.
Cảm ơn
If your Drupal site is hacked or defaced
Help prevent this unfortunate occurrence from happening to others! Though unable to assist in individual cases, the Security Team would like to hear about your experience, in order to better protect the Drupal community as a whole. You can use the template at the page "My site was defaced. Now what?" to let them know what happened.
Resources
For more in-depth information, read the Drupal Security Report at http://drupalsecurityreport.org.
All current security advisories as well as information on how to subscribe to the Drupal security newsletter, contact the security team, and more are listed at http://drupal.org/security.
Thanks
Chúng tôi cảm ơn trước và hơn hết đối với những người tình nguyện trong Đội An ninh Drupal. Chúng tôi đánh giá sâu sắc sự tận tụy của các bạn cho Drupal. an ninh, và web vận hành tốt của chúng tôi.
Cảm ơn đặc biệt tới Greg Knaddison, Lãnh đạo Đội An ninh Drupal, vì sự hiểu biết sâu sắc của bạn và giúp làm cho mọi thứ đúng đắn!
Cũng cảm ơn tới mogdesign và Acquia về việc giúp giải thích qui trình phức tạp và quan trọng này.
Hãy lan truyền
Thông tin đồ họa “Giữ cho Drupal An ninh - 10 bước cho một Phát hành An ninh Drupal” được cấp phép theo một Giấy phép Không chuyển của Creative Commons Attribution - NoDerivs 3.0. Hãy tảy nó về và lan truyền nó.
Our thanks goes out first and foremost to the volunteers on the Drupal Security Team. We deeply appreciate your dedication to Drupal, our security, and a well-functioning web.
Special thanks to Greg Knaddison, Drupal Security Team Lead, for your insight and help getting all this right!
Thanks also to mogdesign and Acquia for helping explain this complex and important process.
Spread the word
The infographic "Keeping Drupal Secure - Ten steps to a Drupal Security Release" is licensed under a Creative Commons Attribution-NoDerivs 3.0 Unported License. Download it and spread the word.
Dịch tài liệu: Lê Trung Nghĩa

Báo cáo: Tin tặc nước ngoài tấn công vào Trung Quốc gia tăng


Report: Foreign hacker attacks on China on the rise
21 March 2012, 16:59
Bài được đưa lên Internet ngày: 21/03/2012
Lời người dịch: Trong khi có rất nhiều tin thường cho rằng Trung Quốc luôn tấn công không gian mạng các các quốc gia trên thế giới, thì nay lại có thông tin theo chiều ngược lại, Trung Quốc bị các tin tặc nhiều nước tấn công. “Năm ngoái, 8.9 triệu máy tính tại Trung Quốc đã bị các cuộc tấn công không gian mạng (TCKGM) gây lây nhiễm, so với 5 triệu vào năm trước. Điều này là tăng 78% và đã được tờ China Daily đăng tải, mà đã trích dẫn một báo cáo gần đây của Đội Kỹ thuật Ứng cứu Khẩn cấp Mạng Máy tính và Trung tâm Phối hợp Quốc gia Trung Quốc (CNCERN/CC). Theo báo cáo, hầu hết các cuộc tấn công đã lần vết ngược về Nhật (22.8%) và Mỹ (20.4%), cũng như Hàn Quốc (7.1%)”.
Năm ngoái, 8.9 triệu máy tính tại Trung Quốc đã bị các cuộc tấn công không gian mạng (TCKGM) gây lây nhiễm, so với 5 triệu vào năm trước. Điều này là tăng 78% và đã được tờ China Daily đăng tải, mà đã trích dẫn một báo cáo gần đây của Đội Kỹ thuật Ứng cứu Khẩn cấp Mạng Máy tính và Trung tâm Phối hợp Quốc gia Trung Quốc (CNCERN/CC). Theo báo cáo, hầu hết các cuộc tấn công đã lần vết ngược về Nhật (22.8%) và Mỹ (20.4%), cũng như Hàn Quốc (7.1%).
Các báo cáo tiếp tục lưu ý rằng hầu hết các cuộc tấn công đã được triển khai để gây tổn thương cho các máy chủ, làm mất mặt các website hoặc ăn cắp các dữ liệu riêng tư của người sử dụng. Họ nói rằng các tin tặc đã sửa các nội dung của hơn 1.100 website, bao gồm 404 website thuộc về các cơ quan chính phủ.
Zhou Yonglin của CNCERT/CC được trích dẫn nói rằng các trojan đã thường được sử dụng để giành lấy các dữ liệu của người sử dụng, và rằng việc giành tài chính không còn là động lực duy nhất của các tin tặc nữa. Trong một số trường hợp, bọn tội phạm hình như đã cố gắng thâm nhập trái phép vào các mạng của chính phủ để truy cập tới các thông tin nhạy cảm.
Xhou Yonglin đã tiếp tục lưu ý rằng đội của ông cũng đã đăng ký hơn 500 khiếu nại từ nước ngoài về các cuộc tấn công vào các mạng nước ngoài mà có xuất xứ từ lãnh thổ Trung Quốc. Báo cáo nói rằng nhà nghiên cứu này đã còn nhấn mạnh rằng “An ninh Internet không phải là trách nhiệm của một quốc gia”, bổ sung rằng “Đây là một vấn đề toàn cầu”.
Last year, 8.9 million computers in China were affected by cyber attacks, compared to 5 million the year before. This significant 78% rise was reported by China Daily, which quoted a recently released report by China's National Computer Network Emergency Response Technical Team and Coordination Center (CNCERT/CC). According to the bulletin, most of the attacks were traced back to Japan (22.8%) and the US (20.4%), as well as South Korea (7.1%).
The report goes on to note that most attacks were carried out in order to compromise servers, deface the content of web sites or steal internet users' private data. They said that foreign hackers modified the contents of more than 1,100 web sites, including 404 belonging to government agencies.
The CNCERT/CC's Zhou Yonglin is quoted as saying that trojans were often used to obtain users' data, and that financial gain wasn't the hackers' sole motivation. In some cases, criminals apparently tried to intrude into government networks in order to access sensitive information.
Zhou Yonglin went on to note that his team also registered more than 500 complaints from abroad about attacks on foreign networks that originated from Chinese territory. The report said that the researcher also emphasised that "Internet security is not one country's duty," adding that "It's a global issue".
(crve)
Dịch tài liệu: Lê Trung Nghĩa

Thứ Hai, 26 tháng 3, 2012

Chính phủ Bỉ thúc đẩy phiên bản alpha của module e-ID cho Drupal


Belgian government publishes alpha version e-ID Drupal module
Submitted by Gijs HILLENIUS on March 19, 2012
Bài được đưa lên Internet ngày: 19/03/2012
Cơ quan cố vấn CNTT-TT Liên bản Bỉ - Fedict - tuần trước đã xuất bản Beididp, một phiên bản sớm của module cho hệ thống quản trị nội dung nguồn mở Drupal, phiên bản 6. Module này tích hợp tốt với nhà cung cấp nhận diện eID dựa vào Java Fedict (IDP) và cho phép những người sử dụng xác thực với thẻ eID Bỉ của họ, có sử dụng nhà cung cấp nhận diện eID Fedict (IDP).
Belgium's Federal ICT advisory body Fedict last week published Beididp, an early version of a module for the Drupal open source content management system, version 6.  This module integrates nicely with Fedict's Java-based eID Identity provider (IDP) and allows users to authenticate with their Belgian eID card, using Fedict's eID Identity provider (IDP).
Lời người dịch: Ở Việt Nam, nhiều người chuyên đi bịp, hù dọa những người khác rằng phần mềm tự do nguồn mở thì không an ninh. Còn ở nước Bỉ, Chính phủ đang xuất bản một module phần mềm, gọi là Beididp, cho hệ thống quản trị nội dung nguồn mở Drupal (được sử dụng cho website của Nhà Trắng và của Chính phủ Anh). Module này “tích hợp tốt với nhà cung cấp nhận diện eID dựa vào Java Fedict (IDP) và cho phép những người sử dụng xác thực với thẻ eID Bỉ của họ”. Beididp sẽ làm việc trong các trình duyệt nguồn mở Firefox (phiên bản 3 hoặc cao hơn) và Chrome (phiên bản 10 hoặc cao hơn) cũng như 2 trình duyệt web sở hữu độc quyền. Để sử dụng module này, Java thời gian thực gần đây nhất, phiên bản 1.6 là cần thiết. Module này được xuất bản có sử dụng giấy phép PMTDNM GPLv2.
Module được xuất bản này được mong đợi thuần túy cho việc kiểm thử, Bart Hanssens, chuyên gia về tính tương hợp tại Fedict, nhấn mạnh. Cơ quan này hy vọng rằng việc phát hành sớm và thường xuyên sẽ làm cho các lập trình viên khác có quan tâm, đẩy nhanh tốc độ phát triển. “Chúng tôi chào mừng các ý kiến phản hồi từ những người kiểm thử”.
Hỗ trợ được cung cấp trên cơ sở nỗ lực tốt nhất, các thỏa thuận mức dịch vụ hiện còn chưa sẵn sàng. Tổ chức này khuyến cáo những người sử dụng thiết lập các máy chủ IDP của riêng họ. “Mặc định, một dịch vụ kiểm thử được đặt chỗ theo một hợp đồng điện tử được sử dụng”.
Website Drupal trong đó Beididp được cài đặt “sẽ hành động như Bên Tin cậy, trong khi IDP sẽ chăm sóc giao tiếp truyền thông với bản thân thẻ eID, có sử dụng một Java Applet”.
Beididp sẽ làm việc trong các trình duyệt nguồn mở Firefox (phiên bản 3 hoặc cao hơn) và Chrome (phiên bản 10 hoặc cao hơn) cũng như 2 trình duyệt web sở hữu độc quyền. Để sử dụng module này, Java thời gian thực gần đây nhất, phiên bản 1.6 là cần thiết.
Module này được xuất bản có sử dụng giấy phép PMTDNM GPLv2.
The published module is intended purely for testing, stresses Bart Hanssens, interoperability expert at Fedict. The agency hopes that releasing early and often will get other developers interested, speeding up development. "We welcome feedback from testers."
Support is provided on a best effort basis, service level agreements are currently not available. The organisation recommends users to set up their own IDP server. "By default, a test service hosted by e-contract is used."
The Drupal website on which Beididp is installed "will act as the Relying Party, while the IDP will take care of the communication with the eID card itself, using a Java applet."
Beididp should work in open source browsers Firefox (version 3 or higher) and Chrome (version 10 and higher) as well as two proprietary web browsers. To use the module, the most recent Java runtime, 1.6, is needed.
The module is published using the GPLv2 free and open source software licence.
Dịch tài liệu: Lê Trung Nghĩa

Chính phủ Iceland chuẩn bị chuyển sang nguồn mở


Icelandic government prepares switch to open source
22 March 2012, 18:21
Bài được đưa lên Internet ngày: 22/03/2012
Lời người dịch: Chính phủ Iceland đã bắt đầu công cuộc chuyển đổi tất cả các máy tính trạm của các cơ quan nhà nước sang PMNM, dù sự chuyển đổi này sẽ không hoàn thành chỉ trong 1 năm, như được chỉ ra trong bài viết: “trong 4 năm qua nhiều trường hợp và cơ quan hành chính khác đã chuyển khỏi việc sử dụng phần mềm sở hữu độc quyền - ban đầu là để trả lời cho một chỉ dẫn được Thủ tướng Iceland là Jóhanna Sigurðardóttir đưa ra mà chính phủ có trách nhiệm đánh giá PMNM ngang bằng với phần mềm sở hữu độc quyền bất kỳ khi nào mua sắm phần mềm được thực hiện”.
Website nguồn mở của Ủy ban châu Âu đang nói rằng chính phủ Iceland đã bắt đầu một dự án chuẩn bị cho sự chuyển đổi tất cả các máy tính trạm sang phần mềm nguồn mở (PMNM). Dự án này được lên lịch sẽ hoàn tất trong vòng 1 năm và theo người đứng đầu của dự án, Tryggvi Björgvinsson, thành phố Reykjavik, Bệnh viện Quốc gia và tất cả các Bộ của nước này đang thiết lập những ví dụ tốt cho sự chuyển đổi như vậy.
“Mục tiêu của dự án là không chuyển các cơ quan nhà nước sang PMTDNM chỉ trong 1 năm kế hoạch”, Björgvinsson nói. Để làm cho sự chuyển đổi dễ dàng hơn, dự án lên kế hoạch triển khai một hạ tầng chúng giữa các tổ chức khác nhau mà thu thập và chia sẻ thông tin về độ chín của các lựa chọn thay thế nguồn mở so với các giải pháp sở hữu độc quyền hiện đang sử dụng. Bổ sung, một nhóm các chuyên gia đã được tập hợp để giám sát dự án và canh chừng những hỏng hóc có khả năng trong phát triển phần mềm mới.
Chính sách mới này là một sự tiếp tục những nỗ lực chuyển đổi tất cả các cơ quan nhà nước sang PMTDNM - trong 4 năm qua nhiều trường hợp và cơ quan hành chính khác đã chuyển khỏi việc sử dụng phần mềm sở hữu độc quyền - ban đầu là để trả lời cho một chỉ dẫn được Thủ tướng Iceland là Jóhanna Sigurðardóttir đưa ra mà chính phủ có trách nhiệm đánh giá PMNM ngang bằng với phần mềm sở hữu độc quyền bất kỳ khi nào mua sắm phần mềm được thực hiện.
Xem thêm:
The open source web site of the European Commission is reporting that Iceland's government has started a project to prepare for the migration of all its workstations to open source software. This project is scheduled to be completed within a year and according to its leader, Tryggvi Björgvinsson, the city of Reykjavik, the National Hospital and all of the country's ministries are setting good examples for such migrations.
"The goal of the project is not to migrate public institutions to free and open source software in one single year but to lay a solid foundation for such a migration which institutions can base their migration plans on", says Björgvinsson. To make the migration easier, the project plans to implement a joint infrastructure between different organisations that collects and shares information on the maturity of open source alternatives compared to the proprietary solutions currently in use. Additionally, a group of specialists has been assembled to monitor the project and guard against possible failures in the deployment of the new software.
The new policy is a continuation of efforts to migrate all public institutions to free and open source software – over the last four years many schools and other public bodies have already moved away from using proprietary software – originally instituted in response to a guideline released by Icelandic Prime Minister Jóhanna Sigurðardóttir which charges the government to evaluate open source software on equal terms to proprietary software whenever software purchases are being made.
See also:
(fab)
Dịch tài liệu: Lê Trung Nghĩa

Chủ Nhật, 25 tháng 3, 2012

65 sự thay thế của nguồn mở cho các phần mềm an ninh - Phần 3

65 Open Source Replacements for Security Software
Open source apps for anti-virus, anti-spam, firewalls, encryption, security gateways and more.
March 13, 2012, By Cynthia Harvey
Theo: http://www.datamation.com/security/65-open-source-replacements-for-security-software-3.html
Bài được đưa lên Internet ngày: 13/03/2012
Lời người dịch: Loạt bài này giới thiệu 65 phần mềm nguồn mở là các phần mềm được sử dụng cho mục đích an toàn và an ninh của hệ thống thông tin và thay thế được các phần mềm nguồn đóng có các tính năng tương tự. Xem các phần:  [01], [02], [03], [04].
Truyền tệp an ninh
37 WinSCP
Thay thế cho: CuteFTP, FTP Commander
Cực ký phổ biến, WinSCP được giải thưởng bao gồm máy trạm SFTP, máy trạm SCP, máy trạm FTPS và máy trạm FTP. Nó đưa ra 2 giao diện khác nhau và cũng bao gồm một trình soạn thảo văn bản tích hợp. Hệ điều hành: Windows.
38 FileZilla
Thay thế cho: CuteFTP, FTP Commander
Trong khi WinSCP đưa ra chỉ một phiên bản máy trạm, thì FileZilla đưa ra cả phiên bản máy trạm và phiên bản cho phép bạn thiết lập máy chủ FTP của riêng bạn. Nó hỗ trợ các giao thức truyền FTP, FTPS và SSH. Hệ điều hành: Windows, Linux, OS X.
Secure File Transfer
37. WinSCP
Replaces CuteFTP, FTP Commander
Extremely popular, the award-winning WinSCP includes an SFTP client, SCP client, FTPS client and FTP client. It offers two different interfaces and also includes an integrated text editor. Operating System: Windows.
38. FileZilla
Replaces CuteFTP, FTP Commander
While WinSCP offers only a client version, FileZilla offers both a client version and a version that allows you to set up your own FTP server. It supports FTP, FTPS and SSH transfer protocol. Operating System: Windows, Linux, OS X.
Điều tra pháp lý
39 ODESSA
Thay thế cho: EnCase Forensics, X-ways Forensics, AccessData Forensic Toolkit
Kiến trúc Chiếm đoạt và Tìm kiếm Bằng chứng Số Mở, còn gọi là “ODESSA”, đưa ra vài công cụ khác nhau cho việc xem xét và báo cáo về bằng chứng số. Đây là một dự án cũ hơn, nhưng vẫn còn có giá trị. Hệ điều hành: Windows, Linux, OS X.
40 The Sleuth Kit/Autopsy Browser
Thay thế cho: EnCase Forensics, X-ways Forensics, AccessData Forensic Toolkit
Hai ứng dụng này làm việc cùng nhau: Sleuth Kit đưa ra các công cụ dòng lệnh cho việc tiến hành điều tra số, và Autospy Broser đưa ra một GUI dựa vào trình duyệt cho việc truy cập các công cụ đó. Dự án này bây giờ cũng một khung Hadoop cho phân tích dữ liệu phạm vi lớn. Hệ điều hành: Windows, Linux, OS X.
Forensics
39. ODESSA
Replaces EnCase Forensics, X-ways Forensics, AccessData Forensic Toolkit
The Open Digital Evidence Search and Seizure Architecture, aka "ODESSA," offers several different tools that for examining and reporting on digital evidence. This is an older project, but still valuable. Operating System: Windows, Linux, OS X.
40.The Sleuth Kit/Autopsy Browser
Replaces EnCase Forensics, X-ways Forensics, AccessData Forensic Toolkit
These two apps work together: The Sleuth Kit offers command line tools for conducting digital investigations, and Autopsy Browser offers a browser-based GUI for accessing those tools. The project also now includes a Hadoop framework for large-scale data analysis. Operating System: Windows, Linux, OS X.
Các cổng gateway / Các thiết bị Quản lý Mối đe dọa Thống nhất
41 Endian Firewall Community
Thay thế cho: Check Point Security Gateways, SonicWall, Symantec Web Gateway
Cộng đồng Tường lửa Endian có thể biến bất kỳ PC nào (bao gồm cả những PC khá cũ) thành một thiết bị án ninh cổng gateway hoàn chỉnh với một tường lửa, các ủy quyền mức ứng dụng với hỗ trợ chống virus, lọc virus và spam cho thư điện tử, nội dung Web và một mạng riêng ảo VPN. Các phiên bản được hỗ trợ các thiết bị phần mềm và phần cứng cũng sẵn sàng trên site. Hệ điều hành: Linux.
42 Untangle Lite
Thay thế cho: Check Point Security Gateways, SonicWall, Symantec Web Gateway
Tương tự như Endian, Untangle Lite cũng giúp những người sử dụng tạo các thiết bị an ninh cổng gateway của riêng họ. Bổ sung thêm, Untangle đưa ra các sản phẩm thương mại, và bạn có thể tải về mỗi trong số các ứng dụng riêng rẽ được đưa vào trong Untangle Lite (tường lửa, ngăn chặn thâm nhập trái phép, khóa các cuộc tấn công, ...) một cách tách biệt. Hệ điều hành: Linux.
43 ClearOS
Thay thế cho: Check Point Security Gateways, SonicWall, Symantec Web Gateway
ClearOS kết hợp chức năng an ninh cổng gateway với các khả năng của một máy chủ doanh nghiệp nhỏ. Nó đưa ra việc kết nối mạng, phần mềm nhóm, một máy chủ thư, một máy chủ Web và hơn thế. Hỗ trợ có trả tiền và phần cứng cũng có sẵn. Hệ điều hành: Linux.
Gateway/Unified Threat Management Appliances
41. Endian Firewall Community
Replaces: Check Point Security Gateways, SonicWall, Symantec Web Gateway
Endian Firewall Community can turn any PC (including pretty old ones) into a gateway security appliance complete with a firewall, application-level proxies with antivirus support, virus and spam-filtering for email, Web content and a VPN. Supported versions of the software and hardware appliances are also available on the site. Operating System: Linux.
42. Untangle Lite
Replaces: Check Point Security Gateways, SonicWall, Symantec Web Gateway
Similar to Endian, Untangle Lite also helps users create their own gateway security appliances. In addition, Untangle offers commercial products, and you can download each of the individual apps included in Untangle Lite (firewall, intrusion prevention, attack blocker, etc.) separately. Operating System: Linux.
43. ClearOS
Replaces: Check Point Security Gateways, SonicWall, Symantec Web Gateway
ClearOS combines gateway security functionality with the capabilities of a small business server. It offers networking, groupware, a mail server, a Web server and more. Paid support and hardware are also available. Operating System: Linux.
Dò tìm thâm nhập trái phép
44 Open Source Tripwire
Thay thế cho: Tripwire
Tripwire tiêu chuẩn bây giờ là một dự án nguồn đóng, nhưng cộng đồng đã tiếp tục phát triển phiên bản nguồn mở trong năm 2000. Nó giám sát nội dung và các tệp và cảnh báo cho những người quản lý mạng khi những tệp đó bị thay đổi, cảnh báo cho họ có những thâm nhập trái phép có khả năng. Hệ điều hành: Windows, Linux.
45 OSSEC
Thay thế cho: Corero IPS, < ahref="http://www.hpenterprisesecurity.com/products/hp-tippingpoint-network-security/">HP Tipping Point IPS, Sophos HIPS

Bổ sung thêm vào việc kiểm tra tính toàn vẹn của các tệp, OSSEC cũng thực hiện phân tích lưu ký, giám sát chính sách, dò tìm rootkit và cảnh báo thời gian thực để giúp ngăn ngừa và dò tìm thâm nhập trái phép trong mạng của bạn. Nó được tải về hơn 5.000 lần mỗi tháng và đã thắng nhiều giải thưởng. Hệ điều hành: Windows, Linux.
46 AFICK
Thay thế cho Tripwire
AFICK, ngắn gọn là “Trình Kiểm tra Tính toàn vẹn Tệp Khác”, đưa ra chức năng tương tự như Tripwire. Nó khả chuyển, nhanh và chạy từ GUI hoặc dòng lệnh. Hệ điều hành: Windows, Linux.
47 Snort
Thay thế cho: Corero IPS, < ahref="http://www.hpenterprisesecurity.com/products/hp-tippingpoint-network-security/">HP Tipping Point IPS, Sophos HIPS
Với hàng triệu lượt tải về và hơn 400.000 người sử dụng đăng ký, Snort được cho là “Công nghệ IDS/IPS được triển khai rộng rãi nhất thế giới”. Hệ điều hành: Windows, Linux, OS X.
Intrusion Detection
44. Open Source Tripwire
Replaces Tripwire
Standard Tripwire is now a closed source project, but the community has continued developing the open source version released in 2000. It monitors the content of files and alerts network managers when those files have changed, alerting them to possible intrusions. Operating System: Windows, Linux.
45. OSSEC
Replaces Corero IPS, < ahref="http://www.hpenterprisesecurity.com/products/hp-tippingpoint-network-security/">HP Tipping Point IPS, Sophos HIPS
In addition to file integrity checking, OSSEC also performs log analysis, policy monitoring, rootkit detection and real-time alerting to help prevent and detect intrusions into your network. It's downloaded more than 5,000 times per month and has won numerous awards. Operating System: Windows, Linux.
46. AFICK
Replaces Tripwire
AFICK, short for "Another File Integrity Checker," offers similar functionality as Tripwire. It's portable, fast and runs from a GUI or the command line. Operating System: Windows, Linux.
47. Snort
Replaces Corero IPS, < ahref="http://www.hpenterprisesecurity.com/products/hp-tippingpoint-network-security/">HP Tipping Point IPS, Sophos HIPS
With millions of downloads and more than 400,000 registered users, Snort claims to be "the most widely deployed IDS/IPS technology worldwide." Operating System: Windows, Linux OS X.
Các tường lửa mạng
48 IPCop
Thay thế cho: Barricuda NG Firewall, Check Point Appliances
Giống như hầu hết các ứng dụng khác trong danh sách các Tường lửa của chúng tôi, IPCop biến một PC thành một tường lửa dựa vào Linux để bảo vệ mạng của bạn. Nó được thiết kế cho những người sử dụng ở nhà hoặc SOHO, và nó có một giao diện Web dễ sử dụng. Hệ điều hành: Linux.
49 Devil-Linux
Thay thế cho: Barricuda NG Firewall, Check Point Appliances
Dù nó ban đầu từng được thiết kế để đưa ra chức năng tường lửa và định tuyến router, thì Deviel - Linux cũng còn vận hành như một máy chủ cho nhiều ứng dụng, bao gồm cả đặt chỗ cho thư. Được các nhà quản trị CNTT tạo ra cho các quản trị viên CNTT, nó có các khả năng tùy biến tuyệt vời và an ninh hàng đầu. Hệ điều hành: Linux.
50 Turtle Firewall
Thay thế cho: Barricuda NG Firewall, Check Point Appliances
Được thiết kế để đơn giản và nhanh, Turtle cho phép các nhà quản lý mạng thiết lập cấu hình nó thông qua giao diện Web hoặc bằng việc sửa đổi các tệp XML. Website này cũng bao gồm một số thông tin giới thiệu tốt về bản chất tự nhiên của các tường lửa. Hệ điều hành: Linux.
51 Shorewall
Thay thế cho: Barricuda NG Firewall, Check Point Appliances
Shorewall không được cho là tường lửa Linux dễ sử dụng nhất, nhưng nó được cho là “tường lửa mềm dẻo và mạnh nhất”. Bạn có thể sử dụng nó trong một hệ thống vận hành như một tường lửa chuyên dụng, như một cổng gateway/bộ định tuyến router/máy chủ đa chức năng hoặc như một chiệc PC GNU/Linux đứng riêng rẽ. Hệ điều hành: Linux.
Network Firewalls
48. IPCop
Replaces Barricuda NG Firewall, Check Point Appliances
Like most of the other apps on our Firewall list, IPCop turns a PC into a Linux-based firewall to protect your network. This one is designed for home or SOHO users, and it boasts an easy-to-use Web interface. Operating System: Linux.
49. Devil-Linux
Replaces Barricuda NG Firewall, Check Point Appliances
Although it was originally designed to offer firewall and router functionality, Devil-Linux can also operate as a server for many applications, including mail hosting. Created by IT administrators for IT administrators, it boasts top-notch security and excellent customization capabilities. Operating System: Linux.
50. Turtle Firewall
Replaces Barricuda NG Firewall, Check Point Appliances
Designed to be simple and fast, Turtle allows network managers to configure it via a Web interface or by modifying XML files. The website also includes some good introductory information on the nature of firewalls. Operating System: Linux.
51. Shorewall
Replaces Barricuda NG Firewall, Check Point Appliances
Shorewall doesn't claim to be the easiest Linux firewall to use, but it does claim to be "the most flexible and powerful." You can use it on a system functioning as a dedicated firewall, as a multi-function gateway/router/server or as a standalone GNU/Linux PC. Operating System: Linux.
Dịch tài liệu: Lê Trung Nghĩa
letrungnghia.foss@gmail.com