NSA åpner sikkerhetsverktøy

ÅPEN KODE: Puppet-modulen Simp bruker åpne verktøy som GPG og er skrevet i Ruby. (Skjermdump: Kenneth Christensen)

NSA åpner sikkerhetsverktøy

Kildekoden for GNU/Linux- og Puppet-baserte Simp er publisert i kodearkivet Github. Spørsmålet er bare om noen tør bruke den.

Det er ikke til å komme fra at den amerikanske offentlige sikkerhetsorganisasjonen NSA mistet en god slump kredibilitet etter spion-avsløringene til tidligere medarbeider Edward Snowden. Slik blir det gjerne når man spionerer på sine egne.

Men NSA forsøker å hente inn igjen det tapte på flere måter. En av disse er å dele kode for sine digitale verktøy med andre etater, og kollegaer i andre land. Det siste er å åpne kildekoden til sikkerhetsrammeverket Systems Integrity Management Platform (Simp), via Github. Simp er basert på det kraftige administrasjonsverktøyet Puppet.

Simp skal gjøre det enklere å automatisk håndheve forskjellige Security Content Automation Program (Scap)-profiler gjennom konfigurering av systemkomponenter som PAM og SSH.

Koden er lisensiert under Apache License 2.0, som blant annet åpner for kommersiell bruk, og som i motsetning til GNU GPL-lisensen ikke krever at man deler videreutvikling tilbake til prosjektet eller andre.

Kan man stole på NSA?

Simp virker som et ganske åpent og greit rammeverk, basert på Puppet og skrevet i Ruby. Det er i utgangspunktet beregnet å kjøre på Red Hat Enterprise Linux 6.6, 7.1 og tilsvarende Centos. 

Prosjektet følger retningslinjer for automatisering fra Red Hat og skal som nevnt være i samsvar med offentlige Scap-spesifikasjoner, ifølge Computerworlds søsterpublikasjon Infoworld.

Selv om det alltid er positivt for it-bransjen og det digitale samfunnet at kildekode åpnes og tilgjengeliggjøres for allmennheten, gjenstår det selvsagt å se hvorvidt bedrifter og utviklere tar sjansen på programvare utviklet av et offentlig sikkerhetsorgan som NSA. Mange vil nok være skeptiske på grunn av opphavet, og nølende med å ta i bruk koden. I det minste frem til koden har gjennomgått en revisjon av en respektert tredjepart.

Koden kan lastes ned fra Github.

Sikkerhet