From time to time I read on the list about companies which demand ISVs
to provide source code for SVC routines to analyze it from security
point of view.
While I don't know to much about z/OS 'guts', I'm wondering what is the
reason for that? Or rather, why the SVC code is so important, while
APF-authorized libraries are not subject to analyze. The same apply to
propgrams in SCHEDxx members.
AFAIK (I could be wrong) APF-authorized program can bypass security
rules, so it can be dangeours. Is SVC more dangerous ?
Last, but not least - neither SVC, nor 'regular' APF-authorized program
can do anything illegal when not instructed, so unless ISV folks
unlimited access to prod system it is like dangerous knife in my safe.
Other possibility is that "backdoor" entry is disclosed by ISV to our
sysprogs. In fact it owuld be a confession to security hole.
Just curious
--
Radoslaw Skorupka
Lodz, Poland
--
BRE Bank SA
ul. Senatorska 18
00-950 Warszawa
www.brebank.pl
Sąd Rejonowy dla m. st. Warszawy
XII Wydział Gospodarczy Krajowego Rejestru Sądowego,
nr rejestru przedsiębiorców KRS 0000025237
NIP: 526-021-50-88
Według stanu na dzień 01.01.2007 r. kapitał zakładowy BRE Banku SA (w całości
opłacony) wynosi 118.064.140 zł. W związku z realizacją warunkowego
podwyższenia kapitału zakładowego, na podstawie uchwał XVI WZ z dnia 21.05.2003
r., kapitał zakładowy BRE Banku SA może ulec podwyższeniu do kwoty 118.760.528
zł. Akcje w podwyższonym kapitale zakładowym będą w całości opłacone.
----------------------------------------------------------------------
For IBM-MAIN subscribe / signoff / archive access instructions,
send email to [EMAIL PROTECTED] with the message: GET IBM-MAIN INFO
Search the archives at http://bama.ua.edu/archives/ibm-main.html
