FOSS und Informationssicherheit nach BSI ein Widerspruch?

[Florian Weimer]

* Dirk Haenelt:

> Wir setzen im öffentlichen Bereich derzeit ausschließlich Enterprice
> Linux ein. Nun gibt es zwei Ereignisse, welche uns (ein IT
> Dienstleister im öffentlichen Sektor) dazu zwingen, andere Wege zu
> suchen. Zum einen die Lizenzpolitik im Java-Umfeld und zum anderen die
> gezwungene Verwendung von alternativen Software Repos ala EPEL.

Um welche EPEL-Pakete geht es denn? Grundsätzlich ist ja das, was in
EL ist und was in EPEL nicht gottgegeben. Änderungen sind durchaus
möglich. (Anhand des Paketnames läßt sich häufig abschätzen, ob es
sich überhaupt lohnt, um eine Verschiebung zu bitten.)

> Nun hier meine Frage(n). Wie erfüllte ich BSI Vorgaben - daran sind wir
> gebunden - bei der Verwendung von FOSS ohne Supportvertrag?

Warum liefert der IT-Dienstleister die Extra-Pakete nicht selbst aus
und sichert für sie Support zu (im Zusammenhang mit der eigenen
Software)? Solange er die Dateien nicht in die Systemverzeichnisse
kopiert, dürfte das der gängige Weg sein.