The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сформирован рейтинг СПО, требующего первоочередного аудита безопасности

11.07.2015 14:01

Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил проект Census. Задачей проекта является выявление открытых проектов, нуждающихся в первоочередном аудите кодовой базы и оценке защищённости.

Для выявления подобных проектов сформирован рейтинг, который учитывает различные составляющие, такие как число выявленных уязвимостей, размер активного сообщества разработчиков, наличие отдельного сайта, популярность и важность приложения, заимствование кода в других проектах, число задействованных в работе зависимостей, число дополнительных патчей в deb-пакете, статистику ABRT о крахах. После оценки всех имеющихся метрик для каждого проекта рассчитывается степень риска. Например, наибольший уровень риска будет присвоен проектам, поддерживаемым несколькими разработчиками, имеющими известные уязвимости в прошлом и активно применяемые для построения сетевых сервисов.

Самый большой 11 (из максимальных 16) уровень риска присвоен проектам tcpd, whois, ftp и netcat-traditional. Все данные и скрипты опубликованы на GitHub под лицензией MIT. В качестве источников мета-данных используются репозиторий пакетов Debian и база данных Black Duck Open Hub.



  1. Главная ссылка к новости (https://www.coreinfrastructure...)
  2. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  3. OpenNews: Сообщество пришло на помощь основному разработчику GnuPG, который оказался на грани разорения
  4. OpenNews: Разработка OpenSSL, OpenSSH и NTP будет профинансирована Фондом поддержки ключевых открытых проектов
  5. OpenNews: Ведущие корпорации учредили фонд для финансирования разработки ключевых открытых проектов
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/42599-core
Ключевые слова: core, infrastructure, initiative
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 15:09, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А могли бы не вручную функцию сочинять, а machine learning натренировать — на это бы я посмотрел с удовольствием.
     
     
  • 2.5, Аноним (-), 15:17, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    каким образом? )
     
     
  • 3.14, Аноним (-), 17:14, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ясно каким, искусственный интеллект изобрели бы. Делов-то?
     
     
  • 4.25, Andrey Mitrofanov (?), 22:18, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ясно каким, искусственный интеллект изобрели бы. Делов-то?

    Кластеры http://www.ixbt.com/news/2015/07/11/digital-reasoning-160.html NSA ответят на вызов! //Надо скайзаканчивать рекламировать нетголивуд.

    --
    electronic surveillance satellite imagery George W. Bush brigand
    interception espionage Israel Cohiba condor Operation Iraqi
    Freedom cypherpunk Albright Albanian Ruby Ridge sniper

     
  • 2.12, Аноним (-), 16:42, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, хороший цирк сейчас редко встречается...
     

  • 1.3, Аноним (-), 15:13, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я бы на 1 место воткнул OpenSSL, GnuTLS и LibreSSL. Вцелом дело благородное и нужное.

    СПО вашему дому, друг мой.

     
  • 1.6, Аноним (-), 15:24, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    OSS-2015-06-19.docx - оксюморон в репозитории
     
     
  • 2.11, Аноним (-), 16:36, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://github.com/dankohn ничего удивительного, ведь автор хипстор-дегенерат
     

  • 1.8, Аноним (-), 15:41, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    whois???
    Что там может быть небезопасного?
     
     
  • 2.16, Аноним (-), 18:11, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > whois???
    > Что там может быть небезопасного?

    А whois инфу откуда тянет?

     
     
  • 3.17, A.Stahl (ok), 18:17, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да хоть с серверов Микрософта. Он же её никак не "исполняет". И не использует для запуска или настройки другого кода.
    Тоже не понимаю, что может быть опасного в whois.
     
     
  • 4.20, Vee Nee (?), 18:49, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно странновато с whois вышло и спорно на мой взгляд. Единственный CVE связанный с whois, который я нашел, говорит о переполнении буфера и возможной атаке через слишком длинный аргумент комм. строки, при вызове whois клиента из CGI скрипта. Что на мой взгляд куда более серьезный баг в CGI скрипте, нежели в whois.
     
  • 4.21, Котан (?), 18:57, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Дядя, любая программа, у которой есть входные данные, может быть подвержена взлому. PDF-вьюеры тоже ничего не исполняют, это не значит что их нельзя поломать.
     
     
  • 5.22, rob pike (?), 19:47, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > From Version 3.02 onwards, Acrobat Reader (now Adobe Reader) has included support for JavaScript. This functionality allows a PDF document creator to include code which executes when the document is read
     
     
  • 6.29, user (??), 22:45, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ли где-то список читалок PDF, в которых эта срань отсутствует by design?
     
     
  • 7.33, Прохожий (??), 19:44, 15/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ли где-то список читалок PDF, в которых эта срань отсутствует by
    > design?

    evince

     
  • 2.26, Andrey Mitrofanov (?), 22:25, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > whois???
    > Что там может быть небезопасного?

    Это псевдоним, под которым в забеге участвовал kenel.org.

    ++
    Кто здесь эту крэшемерку качал-читал, "linux" там есть вообще?!

    А "firefox"?

    Ну "KDBUS"-то нет, это http://www.phoronix.com/scan.php?page=news_item&px=NSA-KDBUS-Credentials понятно.

    ---о! "systemd" -- восходящий трынд кр[ыэ]шей?!
    ...Глобальнее, Владимир. Глобальнее!

     

  • 1.9, YetAnotherOnanym (ok), 16:05, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело спускать в дренаж.
     
     
  • 2.27, Andrey Mitrofanov (?), 22:29, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело

    Камрад YetAnotherOnanym B) из соседней новости также реквестует^Wвопиет, что там с рейтингами php, java/openjdk/jre, perl и bash? --http:/openforum/vsluhforumID3/103593.html#9

    > спускать в дренаж.

    Не для этого мы здесь собрались! Или... да?

     
  • 2.28, ананим.orig (?), 22:33, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Сформированный при организации Linux Foundation

    Зыж
    Странно что не iexplorer.exe. Народу с опеннета то всё-равно.
    Ззыж
    Не, ну я понимаю если бы троллили на тему gnutls (в генте 99% софта можно собрать с ним вместо openssl. А может и больше — не проверял). Правда с ним и таких фейков не приключалось.
    Но всё-таки.

     
  • 2.34, robux (ok), 07:25, 16/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > на первом месте не OpenSSL, рейтинг можно смело спускать

    Дык рейтинг строился не только по параметру "самое дырявое",
    но и с учётом параметра "самое важное".

    OpenSSL самый важный из самых дырявых. Как-то так.

     

  • 1.10, Анонимус сапиенс (?), 16:35, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ожидал увидеть в начале openssl, openssh.
     
     
  • 2.24, solardiz (ok), 21:19, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OpenSSL и OpenSSH здесь нет по двум причинам: во-первых, они были в предыдущих списках (составленным по субъективным критериям, еще до этой попытки вычисления уровня риска) и уже финансируются в рамках CII, а во-вторых, на этот раз одним из критериев повышенного риска взято сочетание популярности и заброшенности (отсутствие недавних коммитов). По-моему, это осмысленно, хотя по конкретному набору проектов, и особенно по дальнейшим действиям в отношении них (аудит? и/или активная замена в дистрибутивах на поддерживаемые аналоги? и/или выкидывание из дистрибутивов?), можно спорить. Мы (несколько человек из Openwall) собираемся принять участие в ближайшем CII workshop, так что спорить будем. ;-)
     
     
  • 3.30, Pilat (ok), 01:47, 12/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего хотят сначала отладить технологию такого аудита и собрать людей, практикуясь на сравнительно небольших проектах.
     

  • 1.13, MPEG LA (ok), 16:58, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кто-то пользуется tcpd?
     
     
  • 2.32, ы (?), 18:27, 15/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    без него же tcp не работает
     

  • 1.15, анонимус вульгарис (?), 17:24, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил проект Census.

    Кто на ком стоял?

     
  • 1.19, Аноним (-), 18:29, 11/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    OpenSSL
    OpenSSH
    Firefox
    ipv6 подсистема ядра.
    На аудит вышеперечисленного готов даже пожертвовать денег.
    >netcat

    Не готов.
    >ftp

    за употребление этого протокола в 201Х году предлагаю расстреливать.

     
     
  • 2.23, Аноним (-), 20:10, 11/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > за употребление этого протокола в 201Х году предлагаю расстреливать.

    И чем протокол не угодил? - Тем что в вашей голове не укладывается сочетание "FTP в 201X году" ? Может дело в голове?

     
  • 2.35, Аноним (-), 06:26, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А вам сразу облака подавай?
     

  • 1.31, Аноним (-), 02:25, 12/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему же в рейтинге нет gnupg? Или о нём типа уже позаботились?
     
     
  • 2.36, Аноним (-), 22:55, 15/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я скажу всем, до чего довёл планету этот gnu PG! Пацаки чатланам на голову сели! Кю!!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру