Безопасен ли open source?

[litum]

Участники проекта Java Open Review Project провели аудит кода на Java популярных OSS-проектов. Часть кода проверялась автоматически, а особо критичные места (запросы к БД и код динамических пользовательских интерфейсов) вручную.

Так, например, в проекте Hibernate было обнаружено 23 уязвимости, что составляет менее 3 проблем на 1000 строк кода. В Tomcat обнаружено несколько сотен проблем (около 8 на каждую тысячу строк кода). А вот в Hypergate число ошибок превзошло все разумные пределы. Кроме этого, были выявлены и другие проблемы в безопасности организационного характера.

Вывод специалисты сделали следующий. При внедрении свободного ПО на предприятии не стоит полагаться на миф о том, что раз доступны исходники, то их просмотрела масса людей и устранила все ошибки. Нужно самостоятельно проводить аудит безопасности и трезво оценивать риски. Разработчикам свободного ПО рекомендовано больше уделять внимания вопросам безопасности и сделать аудит частью процесса разработки.

[Haxver]

Ну это все в любом случае лучше закрытой поделки, от которой ожидать можно чего угодно.

[Xandry]

Очень жаль, что не нашёл оригинала или хотя бы подробностей. Самым дальним оказалась страничка - http://root.liberatum.ru/2008/07/masturbir...ssa-razrabotki/
Всё описанное считаю не серьёзным, по крайней мере для себя, ибо не являюсь счастливым обладателем Hibernate, Tomcat, Hypergate и Java.

[olelukoie]

Очень жаль, что не нашёл оригинала или хотя бы подробностей. Самым дальним оказалась страничка - http://root.liberatum.ru/2008/07/masturbir...ssa-razrabotki/

Оригинал можно скачать здесь. В этом документе есть такая табличка:

Код: Выделить всё

Table III: Remediation Trends Across Releases
Package                     Total Issues          Lines of code
...
Hibernate 3.25                   23                   74834
...
Hypergate 3.0.30              14423                   83875
...

и другая табличка

Код: Выделить всё

Table V: Summary Statistics of Packages Scanned

Package                 Total Issues       Total KLOC       Issues per KLOC
...
Hibernate 3.25              23               74.834                0.31
Hypergate 3.0.26         14425               80.94               172.8
...
Tomcat 6.014               469               80.2                  5.8
...

[КВН]

А они Java, совсем случайно, не тестировали?

[SeRыЙ]

Безопасен ли open source? Что вы скажете по поводу этого: давно приелось такое высказывание "опенсурс безопасен, потомучто вы всегда можете посмотреть, нету ли в коде троянов и тд". Только вот, когда вы качаете какойто софт.. с открытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто никогда не смотрит исходный код перед установкой. В бинарных файлах уже ничего не изменишь, а в открытых исходниках просто раздолье - делай что хочешь. Конечно, надо ставить пакеты только с официальных источников, но согласитесь - не всегда есть такая возможность.

[/dev/random]

...но согласитесь - не всегда есть такая возможность.

Не соглашусь. Если программы нет в "официальных источниках", значит она уже забыта автором, и использовать её опасно независимо от того, закрытая она или открытая, поскольку некому исправлять ошибки.

[SeRыЙ]

...но согласитесь - не всегда есть такая возможность.

Не соглашусь. Если программы нет в "официальных источниках", значит она уже забыта автором, и использовать её опасно независимо от того, закрытая она или открытая, поскольку некому исправлять ошибки.

Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?

[/dev/random]

Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?

Виндузятник это мб и сделает. А вот для линуксоида качать ПО из локалок - хуже, чем сидеть под рутом. Лучше сходить к соседу (подключённому к интернету) и скачать эти 276 kB

[SeRыЙ]

Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?

Виндузятник это мб и сделает. А вот для линуксоида качать ПО из локалок - хуже, чем сидеть под рутом. Лучше сходить к соседу (подключённому к интернету) и скачать эти 276 kB

Хех, жалко, что не все об этом думают

[nesk]

Хех, жалко, что не все об этом думают

да если б все были осторожны и соблюдали бы компьютерную гигиену то вирусы, трояны и черви, были бы менее распространены даже под виндой

а вообще недавно была статья про исследования возможности атаки на систему, путем подмены сервера обновлений


Отчет о проблемах безопасности при работе менеджеров пакетов в Linux

[Данил]

хх! а какже superglue!!!

[/dev/random]

Отчет о проблемах безопасности при работе менеджеров пакетов в Linux

Тоже мне, уязвимость... Эта "уязвимость", если кто не читал, состоит в следующем:
1) создаём своё зеркало
2) регистрируем его в официальном списке зеркал, либо ещё как-либо уведомляем о нём жертву
3) дожидаемся, пока жертва начнёт обновляться с него
4) перестаём его обновлять, тем самым не давая жертве получать исправления критических уязвимостей

(кстати, гентушники: неужели среди вас найдётся хоть один, кто ставил бы неофициальное sync-еркало? А distfiles-зеркала для этой атаки недостаточно!)

[SeRыЙ]

Никто канеш не ставил) официалок вполне хватает

[Xandry]

(кстати, гентушники: неужели среди вас найдётся хоть один, кто ставил бы неофициальное sync-еркало? А distfiles-зеркала для этой атаки недостаточно!)

Нет.

[/dev/random]

Никто канеш не ставил) официалок вполне хватает

Нет.

Что и требовалось доказать. Эта "уязвимость" - лапша на уши.

[Ben Aceler]

Безопасен ли open source? Что вы скажете по поводу этого: давно приелось такое высказывание "опенсурс безопасен, потомучто вы всегда можете посмотреть, нету ли в коде троянов и тд". Только вот, когда вы качаете какойто софт.. с открытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто никогда не смотрит исходный код перед установкой. В бинарных файлах уже ничего не изменишь, а в открытых исходниках просто раздолье - делай что хочешь. Конечно, надо ставить пакеты только с официальных источников, но согласитесь - не всегда есть такая возможность.

Только вот, когда вы качаете какойто софт.. с закрытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто не видит исходный код вообще! В бинарных файлах уже ничего не изменишь, а в закрытых исходниках просто раздолье - делай что хочешь. Ставить пакеты только с официальных источников - что толку?

[Xandry]

Ставить пакеты только с официальных источников - что толку?

Толк в том, что часть пользователей, как я например, используют тестовые версии пакетов, то есть ACCEPT_KEYWORD="~....", поэтому остальные могут быть уверены, что не подцепят заразу, так как первые испробуют её сначала на себе и в случае чрезвычайных происшествий отпишутся о случившемся.