Tizenegy szabad szoftver hivatalosan is biztonságos

Titkosítás, biztonság, privát szféra

A Coverity, melyet szabad szoftverek kódjának biztonsági felülvizsgálatával bízott meg az USA kormánya, 11 szabad szoftvert nyilvánított biztonságosnak. A lista:

Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba, TCL.

A nagy hírű Stanford Universityvel közös projektben vizsgálta a szabad szoftvereket a Coverity a Department of Homeland Security megbízásából.
A kiválasztott programok megfeleltek a legmagasabb, Rung 2-es szintnek. A feltárt hibák javításával tudnak a projektek feljebb kerülni a ranglétrán. A legmagasabb Rung 2-es szint alatt található 1-es és 0-ás szint is. Míg az 1-es szinten 86 projekt, addig a Rung 0-án 173 projekt áll.

Az eredeti cikk itt.

Elképzelhető, hogy a biztonságosság és a security warning-ok száma közt nem is biztos, hogy mindig van összefüggés?
Lehet egy program pont attól biztonságos, hogy jó a szupportja és minden hibát gyorsan javítanak, minden bejelentésre reagálnak és rendszeresen auditálják a kódjukat. Mivel auditálnak, potenciális biztonsági hibákat találnak és javítanak. Ezeket bejelentik, ettől van a magas bejelentési szám.
Egy kevesebb biztonsági bejelentéssel rendelkező pedig lehet kevésbé biztonságos is, hiszen az, hogy nincs hozzá bizt. hibabejelentés, az jelentheti azt is, hogy valóban nincs benne hiba (elég kicsi a valószínűsége ennek), de azt is, hogy a) gyenge a saját auditjuk, b) nem javítják akkurátusan a hibákat.

Hogy ez a PHP-nál így van-e, azt nem tudom. Általánosságban írtam.

--
trey @ gépház

elnézést, hogy odaírtam a postfixet, hirtelen a sendmaillel asszociáltam, az én hibám, egyiket sem használom.

Valahogy nevetségesnek érzem, hogy miután megnézem a http://www.php-security.org/ oldalt, utána viszontlátom a USA kormánya által megbízott Coverity által készített listán a php-t.

Persze, igaza van trey-nek, hogy a biztonságosság főleg arról szól, hogy mennyi idő alatt javítják ki a felmerülő bugokat, de ha végignézem a phpsecurityn a listát, akkor igenis komoly bugok vannak ott: buffer overflow, boundary stack overflow, double free. Pl. http://www.php-security.org/MOPB/MOPB-26-2007.html

Szóval, ezek után, nagyon furcsa egy kalap alatt látni pl. a perllel, ráadásul nem egy otthoni tesztben, hanem "certified as secure".

( comet | 2008. 01. 09., sze – 00:05 )

Azert a PHP-t egy letrara rakni a Perl-el eleg ciki.

Persze, gondolom a mostani állapotot elemezték nem magát az utóbbi évek folyamatát, de akkor is: a Perlnek két évente egyszer van egy security vulnerability-je a statisztikák szerint, a PHPnál az ilyen esemény jóval gyakoribb, akármit mond egy kódelemző program.

Egyszerűen ez a certificate többet mond a programmal végzett kódelemzés értelmetlenségéről mint a vizsgált programok biztonságáról.

olvasd végig mi alapján jött létre a certificate. Ez nem azt jelenti, hogy nem volt benne egy rakat hiba. volt. de javították és/vagy utána más metódussal fejlesztettek, hogy ne legyen ismétlődés. Ugyanaz, mint amikor mindenki megütközött, hogy egy sec auditban kód szinten jobban jött ki a MSSQL 2005, mint az Oracle 10g. Az Oras fiúk ugyanis kijavítanak egy hibát, de utána notoriusan elkövetik mégegyszer ugyanazt a következő kiadásban, patch levelben.

Kezeljuk a helyen a dolgokat, ki az a balfek, aki nem remote tesz elerhetove egy oracle-t?

(Mondjuk az nem jutott eszedbe, hogy vannak olyan cegek is, ahol nem 12 megbizhato ember dolgozik, hanem mondjuk 500, akik kozul kb a negyederol tud(hat)od, hogy megbizhatoak - de ebben is inkabb csak bizol?)

+1
Az oracle-t jellemzően úgy használják, hogy dedikált adatbázis szerverek vannak, amik csak oracle-t futtatnak, és különféle más rendszerek (web/alkalamzás szerverek, message queue-k, más adatbázisok stb.) kapcsolódnak hozzá remote.

Abban mondjuk igaza van, hogy interneten keresztül remote nem szoktak Oracle adatbázisokhoz kapcsolódni.
Cégen belül LAN-on viszont ez általános gyakorlat.
:)

Mondjuk, ha az ügyviteli program kliens oldali és Oraclet is használ? És mondjuk 5 éves és nem akarják valamiért nulláról újraírni, hogy a most már használható middlewarek egyikét használják. Az ügyfelek meg nem fizetnék ezt ki, az tuti, az benne van a kialkudott árban. Ami oké is, de tudjuk, hogy azért milyen kialkudott árak vannak és ma még az a vélekedés, hogy "az informatika a szükséges rossz" és viszi a pénzt. Azt nem nézik, hogy akkor nem 2-3 könyvelő/pénzügyes kellene, hanem 4-5 és a kontírozó könyvelők egy közepes cégnél - közepes: ~3 milliárdos forgalom és/vagy 100 ember -, külön bérszámfejtő stb. Csak ezt elfelejtik a régen szocializálódott, főleg állami vagy volt állami, '90 után helyükre került vezetők. Ez a tapasztalatom.
De a lényeg: Oraclet használják sokan távolról. Így szokás. Zárt, belső hálón. VPN-en. stb.

Ez nem azt jelenti, hogy nem volt benne egy rakat hiba. volt. de javították és/vagy utána más metódussal fejlesztettek, hogy ne legyen ismétlődés.

Mondjuk PHP-t én még így is eléggé gyanakodva kezelem, ahány reference counting probléma volt (és még mindig van) benne.

Ugyanaz, mint amikor mindenki megütközött, hogy egy sec auditban kód szinten jobban jött ki a MSSQL 2005, mint az Oracle 10g. Az Oras fiúk ugyanis kijavítanak egy hibát, de utána notoriusan elkövetik mégegyszer ugyanazt a következő kiadásban, patch levelben.

MSSQL-t elég komoly arcok kódolják és még komolyabbak auditálják. Az Oracle nem tudom miért nem áldoz egy nagyobb összeget arra, hogy valamelyik nagyobb ITSec céggel átnézessék a kódjaikat, mert jelenleg annyira katasztrófális, hogy az Immunity "Hacking and Defending Oracle Databases" tanfolyamán az ismert sebezhetőségek mellett 0day exploitokat is bemutat{t,n}ak a hallgatóságnak...

( Hiena v | 2008. 01. 09., sze – 12:50 )

Meglepődtem volna ha a TCL nem kerül fel a listára. Ez ugyanis az amerikai hadsereg egyik "háziszabvány" nyelve.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "