Bezpečnosť open source sa zlepšila, najbezpečnejšie Samba a tor

DSL.sk, 24.9.2009

Bezpečnosť open source softvéru sa v posledných troch rokoch zlepšila. Tvrdí to spoločnosť Coverity, ktorá v rámci projektu Coverity Scan financovaného americkým Ministerstvom vnútornej bezpečnosti hľadá bezpečnostné chyby v open source softvéri.

Coverity odhaľuje chyby statickou analýzou kódu pomocou softvéru Coverity Prevent, tvorcovia väčšina preverovaných softvérov so spoločnosťou spolupracujú a nájdené chyby preverujú a opravujú.

Podľa spoločnosti sa množstvo chýb v open source softvéri zistiteľných statickou analýzou znížilo za posledné tri roky o 16%.

Výrazne najčastejšími nájdenými chybami sú stále používanie nulových ukazovateľov s 28% a únik zdrojov s 23%.

Štyri projekty, Samba, tor, Ruby a OpenPAM, odstránili všetky chyby nájdené vo fáze dva zisťovania chýb pokročilejšími technikami a boli preradené do fázy tri, v ktorej budú preverované ťažšie zistiteľné chyby.

Vo fáze dva je 32 projektov, napríklad OpenVPN, PHP, Perl, Postfix, Python, nmap. Linuxové jadro, Apache, Firefox, Gnome, KDE a LVM2 sú ešte vo fáze jedna.

V súčasnosti sa v rámci projektu preveruje 280 open source softvérových projektov spolu so 60 miliónmi riadkov zdrojového kódu. Doteraz bolo v open source softvéroch odstránených viac ako 11.2 tisíc chýb nájdených projektom, miera nesprávnych pozitívnych identifikácií projektom dosahuje v tomto roku 9.8%.


Najnovšie články:



Diskusia:

?????? Od: rrrrr | Pridané: 24.9.2009 11:01 Teraz som trochu zmateny, myslel som si ze Linux je bezpecne pouzivat.... Je to stale tak? A co OpenVPN, bezne ho pouzivame.... Porovnanie na WIN by nebolo? Odpovedať Známka: -9.0 Hodnotiť:

Re: ?????? Od: lklklklklklk | Pridané: 24.9.2009 11:43 Nic nie je dokonale bezbecne. Ak si to niekto mysli, tak sladka nevedomost :-) Win budu tazko porovnovat v tomto teste, ked tento test pracuje s open-source, co teda win rozhodne nie je. Odpovedať Známka: 10.0 Hodnotiť:

Re: ?????? Od: LuCKy69 | Pridané: 24.9.2009 11:47 Tak je. Presnejsie, pracuje so zdrojovym kodom. Open-source je siroky pojem. :) Odpovedať Známka: 8.3 Hodnotiť:

Re: ?????? Od reg.: cinko | Pridané: 25.9.2009 17:17 taky detail ze opensource software funguje aj pod win? a nie vsetky bugy su OS specific. Ak je raz zly koncept alebo jeho implementacia tak bude zly aj na win aj na linuxe ;) Odpovedať Hodnotiť:

Re: ?????? Od reg.: 1000Sk | Pridané: 24.9.2009 11:54 Bezpecnost je relativny pojem. Aj linux ma svoje bezpecnostne diery, ale ked vies ako ho pouzivat moze byt bezpecny do istej miery. Ak sa ti chce niekto naburat do PC (samozrejme taky clovek, ktory to naozaj vie), tak sa ti tam dostane, aj ked pouzivas neviem-ake super ochrany. Odpovedať Známka: 0.9 Hodnotiť:

Re: Bezpečnosť Od: alibaba40 | Pridané: 24.9.2009 13:03 Rozumný človek si na rozumnom firewalle zakáže všetky prichádzajúce pripojenia, nelezie po divných odkazoch - divným browserom a neotvára neznáme odkazy z ničoho, maily, respektíve ich nevpustí vôbec do PC, neinštaluje všetko, čo mu príde pod ruku ... Len koľko je takých? Odpovedať Známka: -3.8 Hodnotiť:

Re: Bezpečnosť Od: suxi | Pridané: 24.9.2009 13:38 Rozumny clovek si teda nainstaluje apache ci sambu a zakaze vsetky prichadzajuce spojenia Odpovedať Známka: 7.0 Hodnotiť:

Re: Bezpečnosť Od: anonymm | Pridané: 24.9.2009 18:01 owned! :P Odpovedať Známka: 3.8 Hodnotiť:

Re: Bezpečnosť Od: alibaba40 | Pridané: 24.9.2009 19:06 Tieto kecičky pre malé detičky si strčte viete kam - nemá každý PC len na hranie a machrovanie - kopa ľudí to potrebuje z rôznych príčin, možno presahujúcich Váš zjednodušený alebo radikalistický pohľad - ŽIAL s Windowsom. Odpovedať Známka: -2.3 Hodnotiť:

Re: Bezpečnosť Od: asfethan | Pridané: 24.9.2009 22:34 ROFL :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Bezpečnosť Od reg.: ujo Ivo | Pridané: 24.9.2009 20:30 apache so zakazanym incoming trafficom je dobry tak na dve veci :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Bezpečnosť Od: dewjiiu | Pridané: 24.9.2009 21:33 Lokálny development je ta prva vec a co je to druhe? :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Bezpečnosť Od reg.: ujo Ivo | Pridané: 25.9.2009 10:34 hovno* ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: Bezpečnosť Od reg.: cinko | Pridané: 25.9.2009 17:19 mas pravdu idem sa prihlasit na svoj server a hned /usr/local/etc/rc.d/apache22 stop alebo rovno ipfw flush ipfw 1 deny tcp from any to any sice server bude nepouzitelny ale aspon bude bezpecny Odpovedať Známka: 10.0 Hodnotiť:

Re: ?????? Od: asfalatus | Pridané: 24.9.2009 15:28 Netaraj, clanok o tej security konferencii kde sa pokusili zkompromitovat Ubuntu, Mac OSX a Windows si necital? Tiez tu an DSL.sk bol. V defaultnom stave (po standardnej instalacii) sa prienik do Ubuntu nepodaril. Pripominam ze to bola sutaz na ktorej sa zisli najlepsi z najlepsich. Odpovedať Známka: 7.8 Hodnotiť:

Re: ?????? Od reg.: 1000Sk | Pridané: 24.9.2009 17:31 Veru necital, ale stale je to len otazka casu preniknut. Odpovedať Známka: -10.0 Hodnotiť:

Re: ?????? Od: 3543535 | Pridané: 24.9.2009 18:07 A potom ju svist balil do folie... Odpovedať Známka: 10.0 Hodnotiť:

Re: ?????? Od: asfethan | Pridané: 24.9.2009 22:35 +100 bodov! :D Som roflil na tom asi 5min :D Odpovedať Známka: -6.7 Hodnotiť:

Re: ?????? Od reg.: .krtko | Pridané: 24.9.2009 11:59 No bezpecnejsie ako Linuxove jadro je napr. to v NetBSD. Co, ale neznamena, ze by bol Linux nebezpecny. Chyby su vsade a zalezi na tom kto a kedy ich objavi, a samozrejme aj ako rychlo sa ne zareaguje. Mna osobne dost prekvapilo OpenVPN. Bolo by pekne keby sa ho postupne s takymto statusom podarilo presadit ako standart pre ssl vpn. Odpovedať Známka: 10.0 Hodnotiť:

Re: ?????? Od: Jozef Remen | Pridané: 24.9.2009 13:47 L2TP cez IPsec a nepotrebujem specialneho klienta ako v pripade OpenVPN. Nie je to zle ale preco, ked vyssie uvedene je standard, ktory funguje vsade? Odpovedať Hodnotiť:

Prosim uvedomte sa... Od: ffewq | Pridané: 24.9.2009 21:37 Prosim uvedomte si, ze sa hladali potencialne chyby v kode a nie bezpecnostne diery. Nadpis je zavadzajuci. Hladali sa memory leaky, ktore neovplyvnuju bezpecnost, ale skor stabilitu a vykon. Hladali sa null pointre, ktore sposobuju skor segfaulty (na win to byva nepovolena operacia, alebo BSOD) a podobne. Nevravim, ze sa nenasli i chyby, ktore by mohli predstavovat bezpecnostnu hrozbu, ale urcite to nebolo ani 10% z najdenych chyb. PS: mne staticka analyza kodu opravuje napriklad "nespravne" poradie inicializacie premennych, pripadne uvadzania klucovych slov. Toto na vysledku kompilacie nema ZIADEN vplyv, len zvysuje citatelnost. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár