Bezpečnosť open-source sa zlepšila, o päť chýb na 100 tisíc riadkov

DSL.sk, 27.5.2008

Kvalita a bezpečnosť open-source softvéru vyjadrená v počte identifikovaných programátorských chýb sa za posledné dva roky zlepšila z priemerne 30 chýb na stotisíc riadkov kódu na 25 chýb na stotisíc riadkov kódu.

Uvádza to súhrnná správa projektu Coverity Scan odhalujúceho chyby v open-source softvéri. Do projektu je zapojených viac ako 250 softvérov spolu s 55 miliónmi riadkov kódu vrátane tých najznámejších open-source projektov.

Jedenásť projektov bolo presunutých v januári do fázy dva využívajúcej nové techniky odhaľovania chýb, keď v týchto projektoch boli v tom čase opravené všetky chyby odhalené vo fáze jedna. Presunuté boli okrem iného OpenVPN, Perl, PHP, Postfix, Python a Samba.

Projekt sponzorovaný americkým ministerstvom domácej bezpečnosti využíva pre hľadanie chýb statickú analýzu kódu pomocou softvéru Coverity Prevent.

Miera chybovosti je udávaná ako počet identifikovaných chýb, ktoré zatiaľ neboli vývojármi opravené, na tisíc riadkov kódu. Nie každá identifikovaná a započítaná chyba bola overená vývojármi a nie každá musí byť reálne zneužiteľná alebo viesť k bezpečnostnej chybe.

Podľa výsledkov publikovaných aktuálne na stránke projektu má z najznámejších open-source softvérov Apache koeficient identifikovaných chýb 0.14, Firefox 0.16, glibc 0.00, Gnome 0.51, KDE 0.02, Linux verzie 2.6 koeficient 0.13, LVM2 0.07, OpenSSL 0.11, PostgreSQL 0.04, Wine 0.20 a X.org 0.12.


Najnovšie články:



Diskusia:

firefox Od: fester | Pridané: 27.5.2008 9:56 firefox je akoze open-source ? Odpovedať Známka: -4.3 Hodnotiť:

Re: firefox Od: TradeMark | Pridané: 27.5.2008 10:00 Minimalne Gecko jadro je open-source urcite. Samotny Firefox by open-source aj mohol byt ale nie som si isty - skus pozriet Wiki ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: firefox Od: PCnity2 | Pridané: 27.5.2008 21:17 ANO. Zdrojove kody MFF su volne dostupne, zadamo a sirene pod GNU GPLv2. Odpovedať Hodnotiť:

Re: firefox Od: klolok | Pridané: 27.5.2008 10:03 Objavil si Ameriku. Samozrejme ze Firefox je open-source. Ved to bol kedysi prehladavac len v Linuxe. Potom ho portovali aj na ostatane platformy Mac OS a Windows a vtedy sa stal znamy. A vLinuxe je stale standardny browser prakticky vo vsetkych distribuciach, myslim okrem Debianu. Inac mna by zaujmala takato statistika u niektorych closed-source programov, ako napr. Windows, Internet Explorer, Opera, ICQ (specialne verzia 6 xD),Skype a pod. Ale k takemu niecomu sa asi nedostaneme. Odpovedať Známka: 10.0 Hodnotiť:

Re: firefox Od reg.: piXus | Pridané: 27.5.2008 10:18 no pod distribuciami s defaultnym KDE window managerom je default browser Konqueror, a tych je dost, takze urcite nie "takmer vsetkych distribuciach" Odpovedať Známka: 3.3 Hodnotiť:

Re: firefox Od: TradeMark | Pridané: 27.5.2008 10:30 Spomonam si z Debian mal nejaky problem s Firefoxom ohladom licencii.. nebolo to v tom ze Firefox nebol uplne open-source? Iba sa pytam... Odpovedať Hodnotiť:

Re: firefox Od: Rix | Pridané: 27.5.2008 10:53 Ibaze firma si dala licencovat firefox ako obchodnu znamku tak v debiane je pod inym menom :) Odpovedať Hodnotiť:

Re: firefox Od: grf | Pridané: 27.5.2008 10:55 jednalo sa len o problem s nazvom programu a logom. vyvojari debianu spravili urcite zmeny vo firefoxe a mozilla nechcela, aby sa takto upraveny firefox volal firefox... tak mu debianisti dali nazov iceweasel alebo tak nejak... Odpovedať Hodnotiť:

Re: firefox Od: quix_ | Pridané: 27.5.2008 10:58 v tomto je debian troska specificky, jednalo sa o nejake ochranne znamky a kedze sa nedohodli v debiane 100%firefox nenanjdes, ale samozrejme len nejaky 99,9% kedze vsetky oficialne loga a podobne serepeticky su nahradene. ale samozrejme aj firefox a iceweasel(debian) su minimalne open source. Odpovedať Hodnotiť:

Re: firefox Od: quix_ | Pridané: 27.5.2008 10:59 ocividne mi trvalo dlhsie ako som cakal precitat a napisat komentar :D Odpovedať Hodnotiť:

Re: firefox Od: Peto2 | Pridané: 27.5.2008 11:00 Firefox je úplne open-source , problém bol z menom lebo firefox je registrovaná známka. Čiže v Debiane sa firefox volá iceweasel. Je to to isté , funguje všetko , len iné meno. A preto je to open-source . Inak by si také niečo nemohli dovoliť. Samozrejme každý vie, že čo je to v skutočnosti. Nikto z debianu nechce potopiť , vykradnúť alebo sa priživiť na tom. Oni (mozilla a debian vývojári) rokovali a dohodli sa takto. Odpovedať Hodnotiť:

Re: firefox Od reg.: POMARANC | Pridané: 27.5.2008 11:10 takisto aj v archu...tam je pod menom Bon Echo Odpovedať Hodnotiť:

Re: firefox Od: Manin | Pridané: 27.5.2008 14:23 Kedže ledabolo čítam nadpisy, najskôr som si myslel, že to je 5 chýb na 100.000 riadkov. Ale pravda je trošku iná. Schválne, koľko je tak približne nejakých chýb v tých 100.000 riadkoch?? Myslím si, že programátori Lunex versus Win by si mohli podať ruky... Odpovedať Hodnotiť:

Re: firefox Od: Microshift | Pridané: 27.5.2008 14:31 Skus si precitat aspon prvu vetu. ;) Odpovedať Hodnotiť:

Re: firefox Od: Manin | Pridané: 27.5.2008 15:44 To je dobré... To som fakt ani nadpis poriadne neprečítal, nieto ešte prvú vetu... No čo už... Mohli by to porovnať s inými OS. Odpovedať Hodnotiť:

Re: firefox Od reg.: HeckreN | Pridané: 27.5.2008 16:29 citovane z jedneho IT clanku V 5,7 mil. riadkov zdrojového kódu linuxového jadra bolo za tento čas nájdených presne 985 bezpečnostných problémov. Tento údaj nepotrebuje komentár – stačí, ak ho porovnáme s počtom bezpečnostných chýb nájdených vo všetkých verziách Microsoft Windows, uvoľnených za rovnaké časové obdobie. Aby sme boli presnejší – podľa Carnegie Mellon University je priemerný počet problémov v operačnom systéme vyšší ako 5000. Odpovedať Hodnotiť:

Re: firefox Od reg.: HeckreN | Pridané: 27.5.2008 16:35 btw islo o 4 rocny vyskum Odpovedať Hodnotiť:

Re: firefox Od: Manin | Pridané: 27.5.2008 16:46 Ale to ešte neznamená, že u Billa robia horší programátori. Skôr je problém inde, že aj tí Lunexovo orientovaní by mali čo robiť, keby mali robiť OS Windows. Iné je opravovať Mercedes a iné žeriav. Odpovedať Hodnotiť:

Re: firefox Od reg.: HeckreN | Pridané: 27.5.2008 17:03 Odmietas proste vydiet fakty alebo si taky zaostaly ? Proste linux je lepsi, bezpecnejsi, rychlejsi, ma akurat mensiu podporu softu. Odpovedať Hodnotiť:

Re: firefox Od: 1+1<Anin | Pridané: 28.5.2008 10:05 A prečo by mal byť?? Vidieť, vidím, čítať - občas čítam. Ale proste si nemyslím že je Lunex v niečom lepší. Je postavený na tom istom, programujú ho tiež ľudia... Nevidím dôvod na chválu. Je iba porovnateľný s inými špičkovými OS. Odpovedať Hodnotiť:

Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od: nic | Pridané: 27.5.2008 14:34 Par dni uz po internete koluje sprava o extremne kritickej chybe v openSSL v linuxovych distribuciach Debian a Ubuntu a na DSL.sk zatial nic? Jedna sa chybu, ktora sposobila, ze sa negenerovali 128bitove kluce ale len 16 bitove a na jej odstranenie nestaci len hotfix ale treba zmenit vsetky vygenerovane kluce v horizonte poslednych 2 rokov a zasifrovat data novymi klucmi. Bezpecnost open source klesa nepriamo umerne s ich pouzivanostou. Cim viac pouzivatelov, tym viac chyb sa najde... Odpovedať Známka: -3.3 Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od: Peto2 | Pridané: 27.5.2008 17:09 Tras mi povedz aká je v tomto spojitosť medzi počtom chýb v programe a počtom používateľov ? Hovoríš ako keby si ty na windowse nikdy nemal kritickú chybu. To porovnanie čo si napísal sa hovorí na počet vírusov a nie na chyby , to sa nedá vzájomne porovnávať. Keby si chcel vygooglim ti dajaké kritické chyby v neďalekej minulosti čo si tam mal , a nepísalo sa o nich. Sme len ľudia. Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od reg.: MCGiany | Pridané: 27.5.2008 17:20 preco by to malo platit len o virusoch? Ked program pouziva jeden clovek, tak chybu najde raz za cas....ked aplikaciu pouziva pol sveta, tak sa chyba objavi jedna radost. Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od: Peto2 | Pridané: 27.5.2008 17:56 Keď to beriete takto tak je to pravda. Ja som to ale pochopil tak , že program má v sebe rovnako chýb , či ho používa jeden alebo milón ľudí . Sú to stále chyby , a nič na tom nezmení to ,že niekomu to funguje a niekomu to stále padá. Všetky musia byť opravené , aby sa dalo hovoriť o dokonalosti. Ďalej nikde nie je písané ,že chyba bola zneužitá ,tak sa nič nedeje , len dá prácu zakedy admini vygenerujú nové kĺuče. I keď je zložité povedať , že či naozaj niekto neodpočúval , dohovie. Dá sa i povedať ,že čím viac ľudí používa soft , tak tým rýchlejšie by mala byť nájdená chyba , na čom stavia práve open-source, takže má to i druhú stranu :). Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od reg.: MCGiany | Pridané: 27.5.2008 21:50 ano, s tymto suhlasim tiez... Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od reg.: HeckreN | Pridané: 27.5.2008 18:04 Avsak povedal by som ze vyse 85-90% win userov su tzv noobovia, co maju win iba na hry-kalkulacku-excel, zvysnych 10% a to podla mna prehanam robia aj na winoch daco zlozitejsie kde maju sancu objavit chyby a nahlasit ich, kdezto u linux komunity tvoria pocitacovo zdatnejsi uzivatelia asi 85-90% komunity, takze je to priblizne v rovnovahe. Tych 85% win userov si mozme vyhodnotit ako neproduktivny odpad :-P Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od reg.: HeckreN | Pridané: 27.5.2008 18:08 A este by som dodal ze vacsina tych "zlych" ma naninstalovane nejake distro linuxu a robi zle windowsakom :-P Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od: nic | Pridané: 27.5.2008 17:50 Priklad: Ak program pouzivaju 2 miliony ludi, tak sa najde povedzme ze 1000 dalsich, ktory budu cielavedome hladat chybu s umyslom ju zneuzit. Ak mas ale program, ktory pouziva 200 milionov ludi, tak tych "zlych" sa najde omnoho viac a preto je ovela vacsia sanca, ze sa im podari najst viac chyb. Jednoducha logika... Odpovedať Hodnotiť:

Re: Preco nikde nepisete o extremne kritickej chybe v debiane a ubuntu? Od: Peto2 | Pridané: 27.5.2008 18:15 To hovoríte o pokuse zneužívať chybu . Môže byť i 1 chyba a budú ju zneužívať tisíce ľudí. Tu nie je vzťah medzi počtom chýb a počtom užívateľov , tie chyby sú tam a je ich tam rovnako , nech sa menia používatelia ako len chcú. Ak by to bola dajaká priama úmera , tak windows by v týchto rokoch došiel na koniec svojej cesty. No tá sviňucha sa stále drží :-) . Chápem ako to myslíte , prepáčte že slovíčkarím , ale i keď mal môj debianík takýto problém , tak som mu to velice rýchlo odpustil. Ps: Neviem že či sa to týkalo i mňa , lebo ja používam heslo. A tam bola asi iba chyba v generovaní , neviete o tom nič ? Odpovedať Hodnotiť:

nadpisy Od: blomba | Pridané: 27.5.2008 18:01 Neviem co mi dnes je, ale toto je uz asi treti nadpis clanku ktory som pochopil az po precitani clanku samotneho. "Bezpečnosť open-source sa zlepšila, o päť chýb na 100 tisíc riadkov" prvotne som absolutne nechapal aky suvis maju veci za ciarkou, s tymi co su pred nou. "Najziskovejšou IT firmou Eset, štrnásť má tržby nad miliardu" 14 firiem ESETU ma trzby nad miliardu ? Odpovedať Hodnotiť:

Re: nadpisy Od: MirecU - II | Pridané: 28.5.2008 7:28 No... nadpis tohto clanku sa da hned pochopit, ak clovek uz pred tym o tychto chybach v kode pocul/cital. Ale to s tym Esetom som tiez nechapal. :) Odpovedať Hodnotiť:

Pridať komentár