網絡安全公司卡巴斯基(kaspersky)早前表示,於日本、新加坡和美國開設全新的透明中心,以助客戶和合作夥伴瞭解卡巴斯基工程和資料處理實踐、以及審查公司程式原始碼和其他業務領域。
卡巴斯基稱,該舉措為「全球透明計畫(GTI)」的一部分,旨在提升持份者信心。客戶和合作夥伴可在透明中心,在公司專家的指導下,審查公司產品的代碼、軟件更新、威脅檢測規則和進行其他活動,詳細包括:
- 審查公司的安全軟件開發文檔和公司主要產品群組的原始程式碼,包括旗艦消費者和企業產品,還包括我們所有版本軟件的更新和威脅檢測規則;
- 重新構建原始程式碼,以確保它與公開可用的模組相對應。 編譯過程可在透明中心實現——為卡巴斯基的原始程式碼的完整性提供了安全保證;
- 檢查卡巴斯基產品的軟件物料清單(SBOM),以加強供應鏈的安全性;
- 遠端和實體審核第三方安全審計的結果(如 SOC 2 審核報告和 ISO 27001 評估報告)。
卡巴斯基強調,訪客只能「唯讀審查」相關程式碼,並有最嚴格的訪問政策,即在有安全疑慮的情況下,外界對原始程式碼審查的請求可能會被拒絕,並能完全排除程式碼被修改的可能性。
卡巴斯基首間透明中心於 2018 年在瑞士開設,亦在馬德里(西班牙)、吉隆玻(馬來西亞)和聖保羅(巴西)都設有代碼審查中心。