Безопасен ли open source?
Модератор: Модераторы разделов
Безопасен ли open source?
Участники проекта Java Open Review Project провели аудит кода на Java популярных OSS-проектов. Часть кода проверялась автоматически, а особо критичные места (запросы к БД и код динамических пользовательских интерфейсов) вручную.
Так, например, в проекте Hibernate было обнаружено 23 уязвимости, что составляет менее 3 проблем на 1000 строк кода. В Tomcat обнаружено несколько сотен проблем (около 8 на каждую тысячу строк кода). А вот в Hypergate число ошибок превзошло все разумные пределы. Кроме этого, были выявлены и другие проблемы в безопасности организационного характера.
Вывод специалисты сделали следующий. При внедрении свободного ПО на предприятии не стоит полагаться на миф о том, что раз доступны исходники, то их просмотрела масса людей и устранила все ошибки. Нужно самостоятельно проводить аудит безопасности и трезво оценивать риски. Разработчикам свободного ПО рекомендовано больше уделять внимания вопросам безопасности и сделать аудит частью процесса разработки.
Так, например, в проекте Hibernate было обнаружено 23 уязвимости, что составляет менее 3 проблем на 1000 строк кода. В Tomcat обнаружено несколько сотен проблем (около 8 на каждую тысячу строк кода). А вот в Hypergate число ошибок превзошло все разумные пределы. Кроме этого, были выявлены и другие проблемы в безопасности организационного характера.
Вывод специалисты сделали следующий. При внедрении свободного ПО на предприятии не стоит полагаться на миф о том, что раз доступны исходники, то их просмотрела масса людей и устранила все ошибки. Нужно самостоятельно проводить аудит безопасности и трезво оценивать риски. Разработчикам свободного ПО рекомендовано больше уделять внимания вопросам безопасности и сделать аудит частью процесса разработки.
Re: Безопасен ли open source?
Ну это все в любом случае лучше закрытой поделки, от которой ожидать можно чего угодно.
Re: Безопасен ли open source?
Очень жаль, что не нашёл оригинала или хотя бы подробностей. Самым дальним оказалась страничка - http://root.liberatum.ru/2008/07/masturbir...ssa-razrabotki/
Всё описанное считаю не серьёзным, по крайней мере для себя, ибо не являюсь счастливым обладателем Hibernate, Tomcat, Hypergate и Java.
Всё описанное считаю не серьёзным, по крайней мере для себя, ибо не являюсь счастливым обладателем Hibernate, Tomcat, Hypergate и Java.
Re: Безопасен ли open source?
Xandry писал(а): ↑23.07.2008 10:46Очень жаль, что не нашёл оригинала или хотя бы подробностей. Самым дальним оказалась страничка - http://root.liberatum.ru/2008/07/masturbir...ssa-razrabotki/
Оригинал можно скачать здесь. В этом документе есть такая табличка:
Код: Выделить всё
Table III: Remediation Trends Across Releases
Package Total Issues Lines of code
...
Hibernate 3.25 23 74834
...
Hypergate 3.0.30 14423 83875
...
и другая табличка
Код: Выделить всё
Table V: Summary Statistics of Packages Scanned
Package Total Issues Total KLOC Issues per KLOC
...
Hibernate 3.25 23 74.834 0.31
Hypergate 3.0.26 14425 80.94 172.8
...
Tomcat 6.014 469 80.2 5.8
...
Re: Безопасен ли open source?
А они Java, совсем случайно, не тестировали?
Re: Безопасен ли open source?
Безопасен ли open source? Что вы скажете по поводу этого: давно приелось такое высказывание "опенсурс безопасен, потомучто вы всегда можете посмотреть, нету ли в коде троянов и тд". Только вот, когда вы качаете какойто софт.. с открытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто никогда не смотрит исходный код перед установкой. В бинарных файлах уже ничего не изменишь, а в открытых исходниках просто раздолье - делай что хочешь. Конечно, надо ставить пакеты только с официальных источников, но согласитесь - не всегда есть такая возможность.
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: Безопасен ли open source?
/dev/random писал(а): ↑23.07.2008 19:30
Не соглашусь. Если программы нет в "официальных источниках", значит она уже забыта автором, и использовать её опасно независимо от того, закрытая она или открытая, поскольку некому исправлять ошибки.
Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: Безопасен ли open source?
Виндузятник это мб и сделает. А вот для линуксоида качать ПО из локалок - хуже, чем сидеть под рутом. Лучше сходить к соседу (подключённому к интернету) и скачать эти 276 kB
Re: Безопасен ли open source?
/dev/random писал(а): ↑23.07.2008 19:45
Виндузятник это мб и сделает. А вот для линуксоида качать ПО из локалок - хуже, чем сидеть под рутом. Лучше сходить к соседу (подключённому к интернету) и скачать эти 276 kB
Хех, жалко, что не все об этом думают
Re: Безопасен ли open source?
да если б все были осторожны и соблюдали бы компьютерную гигиену то вирусы, трояны и черви, были бы менее распространены даже под виндой
а вообще недавно была статья про исследования возможности атаки на систему, путем подмены сервера обновлений
Отчет о проблемах безопасности при работе менеджеров пакетов в Linux
Внимание: У меня под рукой нет машины с Linux. Я не использую эту ОС. Ответы я даю либо по памяти, либо мне помогает гугл. Тщательно читайте маны по тем командам и конфигурационным файлам, которые я упоминаю.
0xDEFEC8ED
0xDEFEC8ED
Re: Безопасен ли open source?
хх! а какже superglue!!!
ASUS eee pc 701 [windowsXP sp3] [Ubuntu linux]
wi-fi router d-link dir-400 [ddWRT v24 SP1 linux]
[sony psp 2008 slim wi-fi netBSD]
nas d-link dsm-600
Противник HAL NETWORKMANAGER и других подобных паделок!!!
wi-fi router d-link dir-400 [ddWRT v24 SP1 linux]
[sony psp 2008 slim wi-fi netBSD]
nas d-link dsm-600
Противник HAL NETWORKMANAGER и других подобных паделок!!!
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
Re: Безопасен ли open source?
nesk писал(а): ↑23.07.2008 20:10Отчет о проблемах безопасности при работе менеджеров пакетов в Linux
Тоже мне, уязвимость... Эта "уязвимость", если кто не читал, состоит в следующем:
1) создаём своё зеркало
2) регистрируем его в официальном списке зеркал, либо ещё как-либо уведомляем о нём жертву
3) дожидаемся, пока жертва начнёт обновляться с него
4) перестаём его обновлять, тем самым не давая жертве получать исправления критических уязвимостей
(кстати, гентушники: неужели среди вас найдётся хоть один, кто ставил бы неофициальное sync-еркало? А distfiles-зеркала для этой атаки недостаточно!)
Re: Безопасен ли open source?
Никто канеш не ставил) официалок вполне хватает
Re: Безопасен ли open source?
/dev/random писал(а): ↑23.07.2008 21:49(кстати, гентушники: неужели среди вас найдётся хоть один, кто ставил бы неофициальное sync-еркало? А distfiles-зеркала для этой атаки недостаточно!)
Нет.
- /dev/random
- Администратор
- Сообщения: 5289
- ОС: Gentoo
- Ben Aceler
- Сообщения: 185
- ОС: Various Linux
- Контактная информация:
Re: Безопасен ли open source?
SeRыЙ писал(а): ↑23.07.2008 19:08Безопасен ли open source? Что вы скажете по поводу этого: давно приелось такое высказывание "опенсурс безопасен, потомучто вы всегда можете посмотреть, нету ли в коде троянов и тд". Только вот, когда вы качаете какойто софт.. с открытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто никогда не смотрит исходный код перед установкой. В бинарных файлах уже ничего не изменишь, а в открытых исходниках просто раздолье - делай что хочешь. Конечно, надо ставить пакеты только с официальных источников, но согласитесь - не всегда есть такая возможность.
Только вот, когда вы качаете какойто софт.. с закрытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто не видит исходный код вообще! В бинарных файлах уже ничего не изменишь, а в закрытых исходниках просто раздолье - делай что хочешь. Ставить пакеты только с официальных источников - что толку?
Re: Безопасен ли open source?
Толк в том, что часть пользователей, как я например, используют тестовые версии пакетов, то есть ACCEPT_KEYWORD="~....", поэтому остальные могут быть уверены, что не подцепят заразу, так как первые испробуют её сначала на себе и в случае чрезвычайных происшествий отпишутся о случившемся.