Отечественные эксперты: opensource - решето!

я думаю

Смелое заявление.

это контора по выводу денег из полугосудартсвенного ростелекома, не угадал?

Не угадал.

А может это были какие-то тестовые ресурсы? Типа что-то скачать для теста.

Там вообще хз. чего может быть, может они по слову «confidential» грепали или по нынешним упоротым нормам наличие e-mail + фио уже конфиденциальные данные, так как персональная инфа.

Там вообще хз. чего может быть, может они по слову «confidential» грепали

Я думаю, не грепали, и заюзали свой SAST.

упоротым нормам наличие e-mail + фио уже конфиденциальные данные, так как персональная инфа.

It depends, на самом деле. Смотря где и смотря кто обрабатывает.

По словам представителя компании, ее технические специалисты направили результаты исследования в сообщество пользователей и разработчиков открытого ПО.

брешут, в списках рассылки ЛибреОфис нету ничего такого

Ссылка на само исследование: https://rt-solar.ru/upload/iblock/86a/Issledovanie-zashchishchennosti-populyarnykh-prilozheniy-s-otkrytym-iskhodnym-kodom.pdf.

Я почитал и нахожусь в сильном замешательстве. :) В отчете нет ничего конкретного. Перечислен ряд уязвимостей безотносительно к каким-то программам, типа ликбеза какого-то: вот бывает такая, а бывает такая, а бывает MITM и т. п. Дальше приведена табличка с какими-то не ясно откуда взявшимися цифрами. И все!

Это какая-то компиляция фактов? По багзилле или базе CVE смотрели, что ли? Они сами не делали проверку?

Cодержащаяся в настоящем отчете информация была получена из источников, которые, по мнению «Ростелеком-Солар», являются надежными, однако «Ростелеком-Солар» не гарантирует точности и полноты информации для любых целей.

Наиболее слабые результаты показал эмулятор видеоигр RetroArch

критические уязвимости

Они там совсем того?

Ну например имена разрабов, ещё и email для связи указывать принято )

Сообщество opensource: отечественные эксперты — решето!

Еще качество верстки документа намекает...

Если посмотреть свойства PDF: Производитель PDF: Microsoft® Word 2013.

Этот дефолтный стиль мы узнаем из тысячи.

Не, тут-то все нормально. RCE (Remote Code Execution) в эмуляторе видеоигр остается RCE, а это хорошо так поднимает CVSS-рейтинг.

Правда, тут я делаю предположение, что солары использовали CVSS для оценки. Это не точно, т.к. упоминаний об этом в отчете нет.

Толку только от такого RCE?

Это не точно, т.к. упоминаний об этом в отчете нет.

Так там вообще нифига нет (ну как-минимум в том, что я увидел). Куча общих слов «там есть уязвимости», ну есть и дальше что. Поди как с ПивасСтудия (проект нужный, не спорю, но пиар-менеджера им бы сменить) - кривости находят, но большая часть такие, что и фиг с ними, а крику на вселенскую трагедию.

Уже штуки четыре видел сообщений от представителей проектов, которые сами не в курсе, что там за уязвимости такие. Видимо, «проектам сообщили» - голимый свистёж, а «исследование» - голимый пиар РТ-Солар.

Там иксперты по решету были хуже, чем на ЛОРе. Тупо выхлоп стат.анализатора прочитали и пошли разгромную статью писать.

Толку от Remote Code Execution? На пример, можно получить шелл :)

Толку от RCE в локальной проге? Это же не сервер.

Если она совсем локальная, и никак с сетью не работает, в ней и RCE быть не может %)

Дизассемблеры и отладчики дают конечно не всё, но очень многое. Откуда по-твоему пишутся кряки, находятся уязвимости?

мыло в заголовочном каменте файла?

изобразил фейспалм на заявление, что в крите есть «пустые ключи шифрования, пустые пароли или конфиденциальные данные»

Тут просто эксперты надругались над журналистами, криво перечислив список уязвимостей. Я прошёлся по ссылкам, там анализ проводила контора своим собственным инструментом для статического анализа, который, по идее, проверяет много всего. Так что критической уязвимостью там вполне мог оказаться и выход за границы массива при записи, и использование SSLv3, и вовсе что угодно.

Вообще, вся статья выше это банальная самореклама, хотя тулы для статического анализа уязвимостей вещь действительно хорошая.

Нашёл ссылку на отчёт: https://rt-solar.ru/upload/iblock/86a/Issledovanie-zashchishchennosti-populyarnykh-prilozheniy-s-otkrytym-iskhodnym-kodom.pdf

Уже штуки четыре видел сообщений от представителей проектов, которые сами не в курсе, что там за уязвимости такие.

GIMP, Krita. Кто ещё?

LibreOffice (Kompilainenn где-то тут в треде писал). Ну Шигорин, какой-никакой, а представитель Альта.

На опеннете, уж кто бы говорил, но даже ПВССтудия недоумевают.

PVS-Studio, при всех их странностях, дают конкретику. А тут фигня наколеночная какая-то.

Вообще, я работал с их директором по маркетингу и их пиарщицей. Оба пока что отмораживаются.

PVS-Studio, при всех их странностях, дают конкретику.

Ну да, согласен. Местами сильно перебарщивают, конечно, но я хотя бы могу понять что делают, зачем, результаты какие (бывают и спорные, как та же Миранда). Апстримы опять же получают результаты, что-то правят.

Тут 10 страниц для первокурсника ИБ и табличка «мы что-то там посчитали, но вам скажем только по большому секрету и никому не говорите». Да и, цитируя себя с опеннета, в 1450 CVE для LibreOffice я ещё со скрипом, но могу поверить, учитывая размер, возраст и, честно говоря, сильно разное качество кодовой базы. Но в 1263 Notepad++ - эта хрень вообще теоретически не должна собираться тогда.

RetroArch и хаки - это вообще должно быть синонимы, эмуляторы же.

Вообще, я работал с их директором по маркетингу и их пиарщицей

РТ-Солара?

Апстримы опять же получают результаты, что-то правят.

Что-то — ключевой момент :)

РТ-Солара?

Да, до того, как они туда перешли.

PVS-Studio, при всех их странностях, дают конкретику

в ЛибреОфис они предоставили полный выхлоп своего анализатора и, после анализа, разработчики активно фиксили некоторые проблемы. А некоторые, после разбора, были признаны ошибкой анализатора.

https://bugs.documentfoundation.org/show_bug.cgi?id=120703 - вот фактура

так что, да, PVS намного более полезное дело сделали в свое время, чем сабжевые мудаки

Мне настолько всё равно, что я не могу пройти мимо и промолчать :). Честно, мне действительно всё равно, так как по клиентам мы не пересекаемся. Нет такого, что кто-то сидит и сравнивает, купить PVS-Studio или appScreener. Вернее, может такое и бывает, но критерии выбора всё равно будут слишком разные. PVS-Studio для тех, кто хочет найти программистские ошибки и контролировать качество кода. appScreener для тех, кому нужна секьюристая секьюрность, и чтоб отчёты и сертификаты.

А пройти я мимо не смог, так как меня удивляет то внимание, которое привлекла эта новость и отчёт (т.е. мне завидно :). Отчёт… кхм… Я этот отчёт даже всерьез разбирать не могу. Приведу только пару соображений. Подобнее рассматривать нет смысла.

Отчёт утверждает, что в Notepad++ и Libre Office приблизительно одинаковое количество «уязвимостей среднего уровня»: соответственно 1263 и 1450. Ээээ… Эксперт, интересно, вообще видел исходные коды этих проектов?! Они абсолютно не равновесны.

В 2017 году мы проверяли Notepad++, и он состоял из 123 файлов с размером кодовой базы 95 тысяч строк кода. Это крошечный проект. И вряд ли что-то существенно изменилось. Кому интересно, вот статья про ту нашу проверку: https://www.viva64.com/ru/b/0511/

А вот наша статья «LibreOffice: страшный сон бухгалтера» - https://www.viva64.com/ru/b/0586/ . Там 8 000 ФАЙЛОВ исходного кода. Чувствуете разницу? 123 файла и 8 000 файлов. Т.е. проекты различаются по размеру кодовой базы приблизительно в 60 раз.

Не может нормальный анализатор выдать на проекты настолько разного размера приблизительно одинаковое количество предупреждений. Ну или просто исследователь не осилил проверить Libre Office. Проверилось 200 файлов и ладно, и так сойдёт, пойдём отчёт писать :).

Кстати, число 1263 для Notepad++ вообще выглядит неадекватным. Вернее, оно выглядит адекватным, если называть вещи своими именами. Нет там никаких страшных «уязвимостей», а есть обыкновенные предупреждения анализатора, в том числе и ложные. Вот тогда да, их может быть 1263. Авторы от Соляра сознательно путают понятия «уязвимость» и «потенциальная уязвимость», чтобы всё смотрелось страшнее. Уязвимость — это когда есть её описание в базе CVE. А иначе это просто дефект кода (CWE), который теоретически потенциально может быть является уязвимостью с вероятность долей процента.