Как определить безопасность сервера?

Question

[mansurik]

Предположим, есть полностью открытый проект с клиентской и серверной частью (например, мессенджер). Как определить, используется ли на сервере ПО, исходный код которого доступен в репозитории?

Comments

[Пашенька]

Взломать сервер и посмотреть difference.

[d'Ivan]

Безопасность ПО - это одно, а проверка использования чего-то в коде - это другое.
Вы хотите проверить, используется ли некоторое открытое ПО у кого-то на сервере?

[mansurik]

Роман Мирр, речь о безопасности. Разработчики проекта с клиентской и серверной частью заявляют, что их ПО полностью открыто, и я могу прочитать код ПО для клиента и сервера (например, для выявления проблем с безопасностью). Если с клиентским ПО всё понятно, я могу сравнить, например, хэш-суммы скомпилированного кода и предоставленного мне ПО. Но как гарантировать, что на их серверах, к которым я не имею доступ, используется именно это ПО (исходный код которого я могу найти в репозитории)?

[Пашенька]

mansurik, вы правда ожидаете услышать какой-то ответ, кроме: никак?

[mansurik]

Пашенька, что ж, я всего лишь интересующийся профан, думал, есть какой-то способ проверить. Тогда это удручает. Почему же тогда доверяют Signal?

[Пашенька]

mansurik, пользуясь любым софтвэа, ему нужно доверять ровно то, что не страшно потерять, не более.

Answer 1

[d'Ivan]

https://owasp.org/www-community/Vulnerability_Scan...
С помощью этого ПО можно просканировать на предмет уязвимостей.