Безопасен ли open source?

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

litum
Сообщения: 4

Безопасен ли open source?

Сообщение litum » 22.07.2008 19:44

Участники проекта Java Open Review Project провели аудит кода на Java популярных OSS-проектов. Часть кода проверялась автоматически, а особо критичные места (запросы к БД и код динамических пользовательских интерфейсов) вручную.

Так, например, в проекте Hibernate было обнаружено 23 уязвимости, что составляет менее 3 проблем на 1000 строк кода. В Tomcat обнаружено несколько сотен проблем (около 8 на каждую тысячу строк кода). А вот в Hypergate число ошибок превзошло все разумные пределы. Кроме этого, были выявлены и другие проблемы в безопасности организационного характера.

Вывод специалисты сделали следующий. При внедрении свободного ПО на предприятии не стоит полагаться на миф о том, что раз доступны исходники, то их просмотрела масса людей и устранила все ошибки. Нужно самостоятельно проводить аудит безопасности и трезво оценивать риски. Разработчикам свободного ПО рекомендовано больше уделять внимания вопросам безопасности и сделать аудит частью процесса разработки.
Спасибо сказали:

Аватара пользователя
Haxver
Сообщения: 183
ОС: GNU/Linux

Re: Безопасен ли open source?

Сообщение Haxver » 23.07.2008 10:00

Ну это все в любом случае лучше закрытой поделки, от которой ожидать можно чего угодно.
Пользую CentOSиUbuntu
Спасибо сказали:

Xandry
Сообщения: 980
ОС: openSUSE

Re: Безопасен ли open source?

Сообщение Xandry » 23.07.2008 10:46

Очень жаль, что не нашёл оригинала или хотя бы подробностей. Самым дальним оказалась страничка - http://root.liberatum.ru/2008/07/masturbir...ssa-razrabotki/
Всё описанное считаю не серьёзным, по крайней мере для себя, ибо не являюсь счастливым обладателем Hibernate, Tomcat, Hypergate и Java.
Спасибо сказали:

olelukoie
Сообщения: 1248
ОС: Linux, Win

Re: Безопасен ли open source?

Сообщение olelukoie » 23.07.2008 12:08

Xandry писал(а):
23.07.2008 10:46
Очень жаль, что не нашёл оригинала или хотя бы подробностей. Самым дальним оказалась страничка - http://root.liberatum.ru/2008/07/masturbir...ssa-razrabotki/

Оригинал можно скачать здесь. В этом документе есть такая табличка:

Код: Выделить всё

Table III: Remediation Trends Across Releases
Package                     Total Issues          Lines of code
...
Hibernate 3.25                   23                   74834
...
Hypergate 3.0.30              14423                   83875
...

и другая табличка

Код: Выделить всё

Table V: Summary Statistics of Packages Scanned

Package                 Total Issues       Total KLOC       Issues per KLOC
...
Hibernate 3.25              23               74.834                0.31
Hypergate 3.0.26         14425               80.94               172.8
...
Tomcat 6.014               469               80.2                  5.8
...
Спасибо сказали:

Аватара пользователя
КВН
Сообщения: 242
Статус: Новичок

Re: Безопасен ли open source?

Сообщение КВН » 23.07.2008 15:03

А они Java, совсем случайно, не тестировали?
Спасибо сказали:

Аватара пользователя
SeRыЙ
Сообщения: 30
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение SeRыЙ » 23.07.2008 19:08

Безопасен ли open source? Что вы скажете по поводу этого: давно приелось такое высказывание "опенсурс безопасен, потомучто вы всегда можете посмотреть, нету ли в коде троянов и тд". Только вот, когда вы качаете какойто софт.. с открытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто никогда не смотрит исходный код перед установкой. В бинарных файлах уже ничего не изменишь, а в открытых исходниках просто раздолье - делай что хочешь. Конечно, надо ставить пакеты только с официальных источников, но согласитесь - не всегда есть такая возможность.
Спасибо сказали:

Аватара пользователя
/dev/random
Администратор
Сообщения: 4866
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение /dev/random » 23.07.2008 19:30

SeRыЙ писал(а):
23.07.2008 19:08
...но согласитесь - не всегда есть такая возможность.

Не соглашусь. Если программы нет в "официальных источниках", значит она уже забыта автором, и использовать её опасно независимо от того, закрытая она или открытая, поскольку некому исправлять ошибки.
Спасибо сказали:

Аватара пользователя
SeRыЙ
Сообщения: 30
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение SeRыЙ » 23.07.2008 19:39

/dev/random писал(а):
23.07.2008 19:30
SeRыЙ писал(а):
23.07.2008 19:08
...но согласитесь - не всегда есть такая возможность.

Не соглашусь. Если программы нет в "официальных источниках", значит она уже забыта автором, и использовать её опасно независимо от того, закрытая она или открытая, поскольку некому исправлять ошибки.

Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?
Спасибо сказали:

Аватара пользователя
/dev/random
Администратор
Сообщения: 4866
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение /dev/random » 23.07.2008 19:45

SeRыЙ писал(а):
23.07.2008 19:39
Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?

Виндузятник это мб и сделает. А вот для линуксоида качать ПО из локалок - хуже, чем сидеть под рутом. Лучше сходить к соседу (подключённому к интернету) и скачать эти 276 kB
Спасибо сказали:

Аватара пользователя
SeRыЙ
Сообщения: 30
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение SeRыЙ » 23.07.2008 19:55

/dev/random писал(а):
23.07.2008 19:45
SeRыЙ писал(а):
23.07.2008 19:39
Например есть программа Linuxdcpp. Инета у вас нету, но есть локалка, в которой у когото лежит эта софтина. Вы ее качаете и ставите. Такой ситуации разве не может быть?

Виндузятник это мб и сделает. А вот для линуксоида качать ПО из локалок - хуже, чем сидеть под рутом. Лучше сходить к соседу (подключённому к интернету) и скачать эти 276 kB

Хех, жалко, что не все об этом думают
Спасибо сказали:

Аватара пользователя
nesk
Сообщения: 2268
Статус: Линукссаксовец
ОС: MS Windows XP Home SP3

Re: Безопасен ли open source?

Сообщение nesk » 23.07.2008 20:10

SeRыЙ писал(а):
23.07.2008 19:55
Хех, жалко, что не все об этом думают

да если б все были осторожны и соблюдали бы компьютерную гигиену то вирусы, трояны и черви, были бы менее распространены даже под виндой

а вообще недавно была статья про исследования возможности атаки на систему, путем подмены сервера обновлений :)


Отчет о проблемах безопасности при работе менеджеров пакетов в Linux
Внимание: У меня под рукой нет машины с Linux. Я не использую эту ОС. Ответы я даю либо по памяти, либо мне помогает гугл. Тщательно читайте маны по тем командам и конфигурационным файлам, которые я упоминаю.

0xDEFEC8ED
Спасибо сказали:

Аватара пользователя
Данил
Сообщения: 944
ОС: windows xp, cruncheee, ddwrt

Re: Безопасен ли open source?

Сообщение Данил » 23.07.2008 20:13

хх! а какже superglue!!!
ASUS eee pc 701 [windowsXP sp3] [Ubuntu linux]
wi-fi router d-link dir-400 [ddWRT v24 SP1 linux]
[sony psp 2008 slim wi-fi netBSD]
nas d-link dsm-600

Противник HAL NETWORKMANAGER и других подобных паделок!!!
Спасибо сказали:

Аватара пользователя
/dev/random
Администратор
Сообщения: 4866
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение /dev/random » 23.07.2008 21:49


Тоже мне, уязвимость... Эта "уязвимость", если кто не читал, состоит в следующем:
1) создаём своё зеркало
2) регистрируем его в официальном списке зеркал, либо ещё как-либо уведомляем о нём жертву
3) дожидаемся, пока жертва начнёт обновляться с него
4) перестаём его обновлять, тем самым не давая жертве получать исправления критических уязвимостей

(кстати, гентушники: неужели среди вас найдётся хоть один, кто ставил бы неофициальное sync-еркало? А distfiles-зеркала для этой атаки недостаточно!)
Спасибо сказали:

Аватара пользователя
SeRыЙ
Сообщения: 30
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение SeRыЙ » 24.07.2008 04:39

Никто канеш не ставил) официалок вполне хватает
Спасибо сказали:

Xandry
Сообщения: 980
ОС: openSUSE

Re: Безопасен ли open source?

Сообщение Xandry » 24.07.2008 11:03

/dev/random писал(а):
23.07.2008 21:49
(кстати, гентушники: неужели среди вас найдётся хоть один, кто ставил бы неофициальное sync-еркало? А distfiles-зеркала для этой атаки недостаточно!)

Нет.
Спасибо сказали:

Аватара пользователя
/dev/random
Администратор
Сообщения: 4866
ОС: Gentoo

Re: Безопасен ли open source?

Сообщение /dev/random » 24.07.2008 12:31

SeRыЙ писал(а):
24.07.2008 04:39
Никто канеш не ставил) официалок вполне хватает

Xandry писал(а):
24.07.2008 11:03
Нет.

Что и требовалось доказать. Эта "уязвимость" - лапша на уши.
Спасибо сказали:

Аватара пользователя
Ben Aceler
Сообщения: 185
ОС: Various Linux

Re: Безопасен ли open source?

Сообщение Ben Aceler » 24.07.2008 16:33

SeRыЙ писал(а):
23.07.2008 19:08
Безопасен ли open source? Что вы скажете по поводу этого: давно приелось такое высказывание "опенсурс безопасен, потомучто вы всегда можете посмотреть, нету ли в коде троянов и тд". Только вот, когда вы качаете какойто софт.. с открытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто никогда не смотрит исходный код перед установкой. В бинарных файлах уже ничего не изменишь, а в открытых исходниках просто раздолье - делай что хочешь. Конечно, надо ставить пакеты только с официальных источников, но согласитесь - не всегда есть такая возможность.

Только вот, когда вы качаете какойто софт.. с закрытым кодом... любой нормальный программист может внедрить в программу зловредный код. И вы этого даже не заметите. Потому-что никто не видит исходный код вообще! В бинарных файлах уже ничего не изменишь, а в закрытых исходниках просто раздолье - делай что хочешь. Ставить пакеты только с официальных источников - что толку?

:ph34r:
Участник NNLUG и KDE, директор ООО "Элсис".
Спасибо сказали:

Xandry
Сообщения: 980
ОС: openSUSE

Re: Безопасен ли open source?

Сообщение Xandry » 01.08.2008 06:26

Ben Aceler писал(а):
24.07.2008 16:33
Ставить пакеты только с официальных источников - что толку?

Толк в том, что часть пользователей, как я например, используют тестовые версии пакетов, то есть ACCEPT_KEYWORD="~....", поэтому остальные могут быть уверены, что не подцепят заразу, так как первые испробуют её сначала на себе и в случае чрезвычайных происшествий отпишутся о случившемся.
Спасибо сказали: