The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google профинансирует аудит безопасности 8 важных открытых проектов

18.09.2021 10:06

Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о сотрудничестве с компанией Google, которая выразила готовность профинансировать проведение независимого аудита безопасности 8 открытых проектов. На полученные от Google средства решено провести аудит Git, JavaScript-библиотеки Lodash, PHP-фреймворка Laravel, Java-фреймворка Slf4j, JSON-библиотек Jackson (Jackson-core и Jackson-databind) и Java-компонентов Apache Httpcomponents (Httpcomponents-core и Httpcomponents-client).

Ранее на полученные в результате сбора пожертвований средства фонд OSTIF уже провёл аудит проектов OpenSSL, VeraCrypt, OpenVPN, Monero, Unbound DNS и QRL. Отдельно сообществом уже собраны средства для аудита PHP-фреймворка Symfony. В случае получения дополнительного финансирования для аудита также намечены проекты Systemd, Electron, Rails, Drupal, Joomla, WebPack, Reprepro, Ceph, React Native, Salt, Ansible, Angular, Gatsby и Guava.

Выбор произведён эмпирическим путём на основе оценки влияния безопасности проекта на экосистему открытого ПО и потенциальной выгоды для сообщества от увеличения безопасности рассматриваемых проектов. Для примерно 100 тысяч проектов на GitHub был вычислен коэффициент, учитывающий такие факторы, как популярность использования в качестве зависимости, востребованность в инфраструктурах, число разработчиков, активность разработки, число закрытых и незакрытых сообщений об ошибках, число поддерживающих проект организаций, частота выпуска обновлений, история выявления уязвимостей и т.п.

  1. Главная ссылка к новости (https://ostif.org/google-is-pa...)
  2. OpenNews: Google профинансирует работу по повышению безопасности ядра Linux
  3. OpenNews: Google занялся продвижением средств безопасной работы с памятью в открытом ПО
  4. OpenNews: Google раскрыл подробности обеспечения безопасности в своей инфраструктуре
  5. OpenNews: Google представил рейтинг критически важных открытых проектов
  6. OpenNews: Рейтинг библиотек, требующих особой проверки безопасности
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Обобщение
Короткая ссылка: https://opennet.ru/55815-ostif
Ключевые слова: ostif, security, audit, google
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:11, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пропал дом (с)
     
  • 1.3, ан (?), 10:29, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Поаккуратнее надо организациям занимающимся открытыми проектами сотрудничать с корпорацией поддерживающей автократии и цензуру.
     
     
  • 2.39, kissmyass (?), 18:22, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    а кого гугл поддерживает? на вову с роскомпозором вроде они клалили, с китаем тоже бодались, выпустили для них отдельную версию

    или не?

     
     
  • 3.49, Аноним (49), 22:34, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    «Ну ты и соня. Тебя даже вчерашний шторм не разбудил.» ©
     
     
  • 4.50, kissmyass (?), 23:38, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > «Ну ты и соня. Тебя даже вчерашний шторм не разбудил.» ©

    ну люблю поспать, ты бы лучше по делу, какой шторм?

     
  • 4.51, kissmyass (?), 23:41, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > «Ну ты и соня. Тебя даже вчерашний шторм не разбудил.» ©

    ты про то что приложение Навальный выпилили? так я только что прочел... ну зашквар, а делать что?

     
     
  • 5.55, Аноним (55), 04:14, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ..а также Apple и Telegram. Такие же "непрядвзятые-независимые", LOL.
     

  • 1.4, АмД (?), 10:37, 18/09/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –2 +/
     
     
  • 2.9, Аноним (9), 10:49, 18/09/2021 Скрыто модератором
  • –1 +/
     
  • 2.10, Аноним (10), 10:50, 18/09/2021 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (2)

  • 1.8, Аноним (-), 10:48, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    будет:аудит показал, что денег недостаточно для аудита
     
  • 1.11, Аноним (10), 10:51, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какая цена аудита? Гуглить неохота.
     
     
  • 2.12, Аноним (10), 10:52, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Одного аудита.
     
     
  • 3.13, Аноним (10), 10:52, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Одного репозитория.
     

  • 1.14, Аноним (14), 10:58, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Ух, ты. Важные опенсурс проекты это оказывается 100500 JS-библиотек и столько же PHP-фреймворков.
     
     
  • 2.25, анонимус (??), 12:50, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если эти проекты используют часто, если не непосредственно, то в качестве зависимости, то почему бы и нет.
     
     
  • 3.68, Аноньимъ (ok), 18:11, 20/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Аудит популярных JS PHP проэктов показал, что в уязвимостях полезного кода не обнаружено.
     

  • 1.15, InuYasha (??), 11:08, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Вау. Ни _одного_ нужного проекта. Просто энтерпрайзно-смузёвые жаба-блоуты, которые нужны самому гуглу и ещё паре корпорастов. И, естественно, проверка производится для себя, а не от альтруизма. Гугол, пофинансируй меня! Я буду многа опенсоуса писать! хех.
     
     
  • 2.17, Нанобот (ok), 11:24, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +14 +/
    По-моему всё логично: гугл платит за аудит нужных гуглу проектов
     
     
  • 3.19, ssh (ok), 11:55, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно, но как туда укладывается монеро?
     
     
  • 4.26, Аноним (26), 12:52, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну читайте же - "Ранее на полученные в результате сбора пожертвований средства...". Собирали бутылки и что-то там себе аудитили потихоньку, а теперь гугел пришел и говорит - "это, это, это и последние четыре метра".
     
  • 2.18, Аноним (18), 11:29, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    лихо ты Git в ненужно определил :)
     
     
  • 3.20, ssh (ok), 11:55, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Он до этого места еще не дочитал!
     
  • 3.40, InuYasha (??), 18:26, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я просто прочитал как "Гит этих библиотек:", лолки )
     
  • 2.27, Аноним (27), 12:57, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    гит и ларавель же нормальные проекты, для простых людей 😁
     
     
  • 3.42, VladSh (?), 19:17, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Jackson и Apache Httpcomponents - тоже нормальные для простых людей.
     
  • 2.62, лютый жабби__ (?), 17:22, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Ни _одного_ нужного проекта

    тыж не погромист, а эксперт опеннета )

    джексон в жабомире примерно везде. sl4j в 70-80%. апачевый http-клиент - странный выбор...

    про нежабовое ничего говорить не буду.

     
     
  • 3.63, Аноним (63), 20:18, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Заметь, ни apache ни nginx...
     
  • 3.74, InuYasha (??), 22:47, 21/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    жабомир - это смузимир недостойных расточительных раздолбаев, которые посмели именовать себя Великой Профессией!
     

  • 1.21, Аноним (21), 12:04, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Joomla проверять будут вечно
     
  • 1.22, Аноним (22), 12:09, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Внимание Гугла - плохо.
     
  • 1.23, Аноним (23), 12:29, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Systemd

    Хорошо бы. *запасает попкорн*

     
     
  • 2.24, Аноним (24), 12:35, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На это денег может не хватить. Или времени. :)
     
  • 2.32, another_one (ok), 14:32, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Леня в любом случае пошлёт аудиторов - "нот э баг". Только деньги на ветер.
     
     
  • 3.59, Аноним (59), 07:43, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    э.. ты знал!.

    ps. а что у ibm/redhat бабла на аудит systemd нету ? что они отбирают у сообщества.

     
  • 3.60, Аноним (59), 07:43, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    э.. ты знал!.

    ps. а что у ibm/redhat денег на аудит systemd нету ? что они отбирают у сообщества.

     
  • 2.67, Аноним (67), 22:46, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не дыра, а отверстие
     

  • 1.28, Аноним (28), 13:00, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На деньги донатеров найдут доступы к донатерам.
     
  • 1.29, psv (??), 13:04, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Разовый аудит бессмысленный и беспощадный.
     
     
  • 2.30, Gemorroj (ok), 13:32, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    такой вот маркетинг для современных итишников
     

  • 1.31, another_one (ok), 14:30, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > JavaScript-библиотеки Lodash

    Но ведь библиотека мертва и не ментейнится, а последние исправления уязвимостей публиковали (со скандалом и драмой) инженеры Google, т.к автор J.D. Dalton похоже забил на open sourse и почти не коммитит и не публикует релизы.

     
     
  • 2.35, Gefest (?), 16:50, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И  что ?? Как раз хороший повод !
     
  • 2.52, Уася (?), 02:10, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а что этому M J Daldon'у в его микрасофте итак живётся норм, ещё какую-то библиотеку развивать
     
     
  • 3.61, A (?), 08:27, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Стиль мелкомягких. Одно к одному отлегло. ))))))))))
     
  • 2.64, Аноноша (?), 21:20, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да эта либо даром не нужна. forEach, map и прочее есть в стандарте, а с итераторами lodash не работает.
     

  • 1.33, Аноним (33), 14:41, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Joomla есть, а wordpress где?
     
     
  • 2.34, Аноним (28), 16:45, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В Wordpress это не баг, а техническая особенность
     
  • 2.38, Аноним (38), 17:43, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Аудит вордпресса слишком дорогой.
     

  • 1.36, Аноним (36), 17:11, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Аудит wordpress заказать нельзя, потому что по техническим причинам количество найденных уязвимостей должно быть меньше, чем 2^32.
     
  • 1.41, turbo2001 (ok), 19:13, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как так вышло, что Angular нуждается в финансировании аудита безопасности от Google?
     
     
  • 2.43, VladSh (?), 19:18, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так, что видать Google его тоже использует.
     
     
  • 3.44, turbo2001 (ok), 19:19, 18/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Google его делает. Не?
     
     
  • 4.53, Уася (?), 02:12, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут всё просто. Не каждый разработчик является хакером и специалистом в безопасности.
    Гугл платит специалистам по безопасности чтобы они изучили и взломали ангуляр
     

  • 1.45, Аноним (45), 19:45, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    чё бы линукс не проаудитить
     
     
  • 2.56, Аноним (55), 04:20, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ядро? Так целая организация этим занимается. Херово, конечно, но, надеюсь, после шума с минессотскими патчами дело пойдет пободрее.
    А если ты про дистры - тут каждый удовлетворяет себя как хочет. OpenSUSE вот вроде прилично проверяется, Debian тупо замораживается, в Arch вообще почти никак.
     
  • 2.65, Аноноша (?), 21:21, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Аудит ядра от гугла закончился пропихиванием раста.
     

  • 1.48, Аноним (48), 22:02, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кроме первой позиции в списке, не вижу там ничего важного.
     
     
  • 2.54, Уася (?), 02:13, 19/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То потому что ты недолёкий
     
     
  • 3.69, Аноним (69), 13:07, 21/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты-то "долеко" ушёл.
     

  • 1.57, Аноним (55), 04:25, 19/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вообще, собирать деньги с мира по нитке чтобы одноразово провести аудит безопасности - это идиотизм. Софт, пардон, постоянно обновляется, через секунду после аудита может появиться бяка и не одна. Беспонтово вообще. Вообще-то корпорации, которым этот софт нужен обычно и скидываются на постоянной основе для такого. Фандрайзинг одноразовый в IT хорош для выпуска игрулек, не более.
     
  • 1.58, Аноним (-), 07:03, 19/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну конечно, важные с точки зрения Гуглятины.
     
  • 1.66, Аноноша (?), 21:24, 19/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Аудит безопасности php и js - это деньги на ветер.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру