The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сформирован рейтинг СПО, требующего первоочередного аудита б..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от opennews on 11-Июл-15, 14:37 
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
представил (https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...) проект Census (https://www.coreinfrastructure.org/programs/census-project). Задачей проекта является выявление открытых проектов, нуждающихся в первоочередном аудите кодовой базы и оценке защищённости.


Для выявления подобных проектов сформирован рейтинг, который учитывает различные составляющие, такие как число выявленных уязвимостей, размер активного сообщества разработчиков, наличие отдельного сайта, популярность и важность приложения, заимствование кода в других проектах, число задействованных в работе зависимостей, число дополнительных патчей в deb-пакете, статистику ABRT о крахах. После оценки всех имеющихся метрик для каждого проекта рассчитывается степень риска. Например, наибольший уровень риска будет присвоен проектам, поддерживаемым несколькими разработчиками, имеющими известные уязвимости в прошлом и активно применяемые для построения сетевых сервисов.

Самый большой 11 (из максимальных 16) уровень риска  присвоен проектам  tcpd, whois, ftp и netcat-traditional. Все данные и  скрипты опубликованы (https://github.com/linuxfoundation/cii-census) на GitHub под лицензией MIT. В качестве источников мета-данных используются репозиторий пакетов Debian и база данных Black Duck Open Hub (http://openhub.net).

<center><a href="https://www.coreinfrastructure.org/sites/cii/files/styles/la... src="https://www.opennet.ru/opennews/pics_base/0_1436613702.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>


URL: https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42599

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  –1 +/
Сообщение от Аноним (??) on 11-Июл-15, 15:09 
А могли бы не вручную функцию сочинять, а machine learning натренировать — на это бы я посмотрел с удовольствием.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 11-Июл-15, 15:17 
каким образом? )
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +2 +/
Сообщение от Аноним (??) on 11-Июл-15, 17:14 
Ясно каким, искусственный интеллект изобрели бы. Делов-то?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

25. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Andrey Mitrofanov on 11-Июл-15, 22:18 
> Ясно каким, искусственный интеллект изобрели бы. Делов-то?

Кластеры http://www.ixbt.com/news/2015/07/11/digital-reasoning-160.html NSA ответят на вызов! //Надо скайзаканчивать рекламировать нетголивуд.

--
electronic surveillance satellite imagery George W. Bush brigand
interception espionage Israel Cohiba condor Operation Iraqi
Freedom cypherpunk Albright Albanian Ruby Ridge sniper

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +4 +/
Сообщение от Аноним (??) on 11-Июл-15, 16:42 
Да, хороший цирк сейчас редко встречается...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +2 +/
Сообщение от Аноним (??) on 11-Июл-15, 15:13 
Я бы на 1 место воткнул OpenSSL, GnuTLS и LibreSSL. Вцелом дело благородное и нужное.

СПО вашему дому, друг мой.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +7 +/
Сообщение от Аноним (??) on 11-Июл-15, 15:24 
OSS-2015-06-19.docx - оксюморон в репозитории
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +2 +/
Сообщение от Аноним (??) on 11-Июл-15, 16:36 
https://github.com/dankohn ничего удивительного, ведь автор хипстор-дегенерат
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 11-Июл-15, 15:41 
whois???
Что там может быть небезопасного?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 11-Июл-15, 18:11 
> whois???
> Что там может быть небезопасного?

А whois инфу откуда тянет?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  –1 +/
Сообщение от A.Stahl (ok) on 11-Июл-15, 18:17 
Да хоть с серверов Микрософта. Он же её никак не "исполняет". И не использует для запуска или настройки другого кода.
Тоже не понимаю, что может быть опасного в whois.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Vee Nee email on 11-Июл-15, 18:49 
Действительно странновато с whois вышло и спорно на мой взгляд. Единственный CVE связанный с whois, который я нашел, говорит о переполнении буфера и возможной атаке через слишком длинный аргумент комм. строки, при вызове whois клиента из CGI скрипта. Что на мой взгляд куда более серьезный баг в CGI скрипте, нежели в whois.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Котан on 11-Июл-15, 18:57 
Дядя, любая программа, у которой есть входные данные, может быть подвержена взлому. PDF-вьюеры тоже ничего не исполняют, это не значит что их нельзя поломать.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +3 +/
Сообщение от rob pike on 11-Июл-15, 19:47 
> From Version 3.02 onwards, Acrobat Reader (now Adobe Reader) has included support for JavaScript. This functionality allows a PDF document creator to include code which executes when the document is read
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от user (??) on 11-Июл-15, 22:45 
Есть ли где-то список читалок PDF, в которых эта срань отсутствует by design?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Прохожий (??) on 15-Июл-15, 19:44 
> Есть ли где-то список читалок PDF, в которых эта срань отсутствует by
> design?

evince

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

26. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Andrey Mitrofanov on 11-Июл-15, 22:25 
> whois???
> Что там может быть небезопасного?

Это псевдоним, под которым в забеге участвовал kenel.org.

++
Кто здесь эту крэшемерку качал-читал, "linux" там есть вообще?!

А "firefox"?

Ну "KDBUS"-то нет, это http://www.phoronix.com/scan.php?page=news_item&px=NSA-KDBUS... понятно.

---о! "systemd" -- восходящий трынд кр[ыэ]шей?!
...Глобальнее, Владимир. Глобальнее!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +5 +/
Сообщение от YetAnotherOnanym (ok) on 11-Июл-15, 16:05 
Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело спускать в дренаж.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Andrey Mitrofanov on 11-Июл-15, 22:29 
> Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело

Камрад YetAnotherOnanym B) из соседней новости также реквестует^Wвопиет, что там с рейтингами php, java/openjdk/jre, perl и bash? --http:/openforum/vsluhforumID3/103593.html#9

> спускать в дренаж.

Не для этого мы здесь собрались! Или... да?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

28. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от ананим.orig on 11-Июл-15, 22:33 
> Сформированный при организации Linux Foundation

Зыж
Странно что не iexplorer.exe. Народу с опеннета то всё-равно.
Ззыж
Не, ну я понимаю если бы троллили на тему gnutls (в генте 99% софта можно собрать с ним вместо openssl. А может и больше — не проверял). Правда с ним и таких фейков не приключалось.
Но всё-таки.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от robux (ok) on 16-Июл-15, 07:25 
> на первом месте не OpenSSL, рейтинг можно смело спускать

Дык рейтинг строился не только по параметру "самое дырявое",
но и с учётом параметра "самое важное".

OpenSSL самый важный из самых дырявых. Как-то так.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +3 +/
Сообщение от Анонимус сапиенс on 11-Июл-15, 16:35 
Ожидал увидеть в начале openssl, openssh.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +1 +/
Сообщение от solardiz (ok) on 11-Июл-15, 21:19 
OpenSSL и OpenSSH здесь нет по двум причинам: во-первых, они были в предыдущих списках (составленным по субъективным критериям, еще до этой попытки вычисления уровня риска) и уже финансируются в рамках CII, а во-вторых, на этот раз одним из критериев повышенного риска взято сочетание популярности и заброшенности (отсутствие недавних коммитов). По-моему, это осмысленно, хотя по конкретному набору проектов, и особенно по дальнейшим действиям в отношении них (аудит? и/или активная замена в дистрибутивах на поддерживаемые аналоги? и/или выкидывание из дистрибутивов?), можно спорить. Мы (несколько человек из Openwall) собираемся принять участие в ближайшем CII workshop, так что спорить будем. ;-)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

30. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Pilat (ok) on 12-Июл-15, 01:47 
Скорее всего хотят сначала отладить технологию такого аудита и собрать людей, практикуясь на сравнительно небольших проектах.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

13. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от MPEG LA (ok) on 11-Июл-15, 16:58 
кто-то пользуется tcpd?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +1 +/
Сообщение от ы on 15-Июл-15, 18:27 
без него же tcp не работает
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от анонимус вульгарис on 11-Июл-15, 17:24 
> Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил проект Census.

Кто на ком стоял?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 11-Июл-15, 18:29 
OpenSSL
OpenSSH
Firefox
ipv6 подсистема ядра.
На аудит вышеперечисленного готов даже пожертвовать денег.
>netcat

Не готов.
>ftp

за употребление этого протокола в 201Х году предлагаю расстреливать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  –3 +/
Сообщение от Аноним (??) on 11-Июл-15, 20:10 
> за употребление этого протокола в 201Х году предлагаю расстреливать.

И чем протокол не угодил? - Тем что в вашей голове не укладывается сочетание "FTP в 201X году" ? Может дело в голове?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

35. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 26-Июл-15, 06:26 
А вам сразу облака подавай?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 12-Июл-15, 02:25 
Почему же в рейтинге нет gnupg? Или о нём типа уже позаботились?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."  +/
Сообщение от Аноним (??) on 15-Фев-16, 22:55 
Я скажу всем, до чего довёл планету этот gnu PG! Пацаки чатланам на голову сели! Кю!!!
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру