LINUX.ORG.RU
ФорумTalks

Безопасен ли open source?


0

0

Продублирую сюда не прошедшую новость. Не понравилась Шаману из-за "художественного копи-паста" с ресурса, ссылку на который сам-же и указал ;). Повторяет, в принципе, мнение о всем известном положении вещей. Но и служит очередным подтверждением того, что открытые исходники не означают автоматически максимального уровня безопасности.
На замечание marsijanin-а добавлю, не боян а очередное исследование на заданную тематику.

http://liberatum.ru/news/bezopasen-li-open-source

Недавно Линус Торвальдс призвал не заострять внимание на вопросах безопасности кода, а разработчиков ОС OpenBSD, которая славится своим корректным и безопасным кодом, назвал группой мастурбирующих обезъян. Иного мнения придерживаются участники проекта Java Open Review Project, которые провели аудит кода на Java популярных OSS-проектов. Часть кода проверялась автоматически, а особо критичные места (запросы к БД и код динамических пользовательских интерфейсов) вручную.

Так, например, в проекте Hibernate было обнаружено 23 уязвимости, что составляет менее 3 проблем на 1000 строк кода. В Tomcat обнаружено несколько сотен проблем (около 8 на каждую тысячу строк кода). А вот в Hypergate число ошибок превзошло все разумные пределы. Кроме этого, были выявлены и другие проблемы в безопасности организационного характера.

Вывод специалисты сделали следующий. При внедрении свободного ПО на предприятии не стоит полагаться на миф о том, что раз доступны исходники, то их просмотрела масса людей и устранила все ошибки. Нужно самостоятельно проводить аудит безопасности и трезво оценивать риски. Разработчикам свободного ПО рекомендовано больше уделять внимания вопросам безопасности и сделать аудит частью процесса разработки.

★★★★

Перед внедрением (а точнее, даже перед тем, как начать использовать) надо посмотреть в багтрекер. Если его нет, то использовать нельзя. Если он есть, но содержит unresolved баги уровня major и выше сроком выше недели, использовать нельзя. Ну и далее, в таком духе

adarovsky ★★★★
()
Ответ на: комментарий от adarovsky

Далеко не всегда и не во всех продуктах в багтрекере высвечиваются проблемы безопасности. Да и не может там все высвечиваться..
Собственно, вопрос только в том, чтоб не выпускать из вида этот аспект (безопасности) во время разработки и включении в дистрибутивы.. И, желательно, не хамить "соседям-опятам" ;)

Bod ★★★★
() автор топика

Хм. Всегда думал что open source безопасен, потому что ты сам можешь проверить код и в случае необходимости иметь возможность устранить уязвимость, а не потому что его просмотрело куча `любителей` и некоторое количество профессионалов.

Killer-mazila
()
Ответ на: комментарий от adarovsky

> Перед внедрением (а точнее, даже перед тем, как начать использовать) надо посмотреть в багтрекер. Если его нет, то использовать нельзя.

багтрекер PostgreSQL-я покажите пожалуйста? А продукт-то хороший...

> Если он есть, но содержит unresolved баги уровня major и выше сроком выше недели, использовать нельзя.

Так вообще окажется что ничего нельзя использовать боюсь :-)

gods-little-toy ★★★
()
Ответ на: комментарий от Killer-mazila

Ты обладаешь необходимой квалификацией? Поздравляю!
З.Ы.
И вообще, хоть что-то можно говорить только о "статичных" продуктах. А если он развивается и в код вносятся изменения.. Вон, как недавно в дебиане - пушистый зверек подкрался откуда никто не ждал.. Или в случае с DNS протоколом..
А уж лисицу как должны были вылизать..

Bod ★★★★
() автор топика
Ответ на: комментарий от Bod

на 100% безопасного ничего нет, даже малиновое варенье, есть вероятность что оно попадет не туда и вы задохнетесь и умрете

собственно существуют багзиллы и обновления безопасности) важно обновлять регулярно, пока дети не добрались до эксплоитов

Sylvia ★★★★★
()
Ответ на: комментарий от gods-little-toy

>багтрекер PostgreSQL-я покажите пожалуйста? А продукт-то хороший...

http://www.postgresql.org/support/submitbug

Думаю, если что найдёшь баг, ответят сразу. Вообще, я не таких мастодонтов имел в виду, а проекты уровня django/pylons/…

>Так вообще окажется что ничего нельзя использовать боюсь :-)

жангу вроде можно, а вот pylons нельзя )

adarovsky ★★★★
()
Ответ на: комментарий от adarovsky

>>багтрекер PostgreSQL-я покажите пожалуйста? А продукт-то хороший...

> http://www.postgresql.org/support/submitbug Думаю, если что найдёшь баг, ответят сразу.

Ты же искал баг трекер с целью:

>> Перед внедрением (а точнее, даже перед тем, как начать использовать) надо посмотреть в багтрекер. Если его нет, то использовать нельзя. Если он есть, но содержит unresolved баги уровня major и выше сроком выше недели, использовать нельзя. Ну и далее, в таком духе

Ну и как тебе поможет приведенная тобой форма сабмита багов???

> Думаю, если что найдёшь баг, ответят сразу. Вообще, я не таких мастодонтов имел в виду, а проекты уровня django/pylons/…

Да таких, молодых - да, наверно наличие багтрекера является индикатором... Но с числом багов все не так просто.. У новых и/или неиспользуемых вещей багов не будет...

gods-little-toy ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.