Пентагон объявляет сезон охоты за программными ошибками.

Пентагон объявляет сезон охоты за программными ошибками.
Пентагон объявляет сезон охоты за программными ошибками. Утверждение, усиленно навязываемое в последние годы, что исходно-открытое программное обеспечение обеспечивает дополнительную защиту от возможных программных ошибок из-за того, что множество людей имеют возможность изучить исходный код программы и обнаружить эти ошибки, в большинстве случаев не соответствует реальному положению вещей. К такому выводу пришли эксперты DARPA - Управления Перспективных Исследований Министерства Обороны США. В действительности, подавляющее большинство людей не заинтересованы в очень неблагодарной и нудной работе исследования программного кода на предмет ошибок в защите. Если кто и занимается таким скрупулезным изучением доступных программных кодов, то это хакеры. Но в этом случае, как вы сами понимаете, проверяющие не горят желанием сообщать об обнаруженных пробелах в защите разработчикам программ.

Но теперь ситуация может измениться, и метод "many eyes", как элемент программной защиты, перестанет быть только теорией, и будет финансироваться по специально разработанной системе Министерством Обороны США, о чем было объявлено во вторник.

Новая система обработки программного обеспечения – проект Sardonix – является, в том числе, и психологическим экспериментом, который, в случае успеха, должен заменить малоэффективный текущий метод свободного обзора открытого исходного кода на сайте разработчика. Теперь процесс обзора будет автоматически отслеживаться на центральном сайте, фиксируя, какие куски кода были взяты для ревизии на предмет брешей в защите, и кем. Добровольцам автоматически будет начисляться вознаграждение, пропорциональное рейтингу, в свою очередь, зависящему от количества исследованного программного кода и числа обнаруженных ошибок. Ревизоры теряют пункты рейтинга, если последующая проверка кем-либо еще выявит ошибки, пропущенные предыдущими ревизорами. При этом каждый доброволец, в идеале, не должен знать, проверялся ли этот кусок программы раньше, чтобы не притуплялось внимание, и не пропадал интерес к проверке.

Не предусматривается никакого отдельного приза за высший рейтинг среди ревизоров защиты, но этого и не требуется в концепции проекта. "Мы используем инстинктивный скептицизм и потребность в распознавании, лежащие в основе открыто-исходного метода защиты" - говорит Криспин Коуан, старший исследователь WireX Communications. "Вы можете автоматически быть оценены, как более эффективный ревизор, чем другой парень, если определите большее количество дефектов в коде".

Коуан заявляет, что созданная им точная рейтинговая система оценки, как он надеется, произведет тот коктейль доброжелательности, с одной стороны, и духа соперничества, с другой, который может привести к бурному наплыву желающих тщательно исследовать коды программ, выявлять ошибки и немедленно сообщать об этом разработчикам. По словам Коуана, он не стал изобретать велосипед, а взял уже готовую методику, с успехом применяемую в самых различных компьютерных отраслях – от метода распределенного вычисления для обнаружения, к примеру, новых простых чисел, со своими высшими производителями, до начисления "очков кармы" людям, предоставившим самую интересную эмблему или самые интересные новости для сайта «новостей-для-кретинов» - Slashdot.

Новый метод проверки позволяет даже составить автоматический «рейтинг безопасности» различных программ, по которому пользователи открыто-исходного программного обеспечения смогут судить о его надежности. Этот показатель может быть легко определен по совокупности рейтингов людей, проверявших различные фрагменты программы и общей величины программы, или из полного уровня опыта и навыка людей, затраченных на проверку данной программы.

"Открытый источник допускает много желающих для проверки, но не ручается за тщательность этой проверки. Большая часть программного кода все равно остается непроверенной" - говорит Коуан - "Sardonix же дает вам надежный способ выяснить, какие именно фрагменты, кем именно и насколько тщательно были проанализированы".

Проект был назван Sardonix, по словам Коуана, из-за сардонического отношения и полного безразличия к требованиям компьютерной защиты, продолжавшихся много последних лет, пока в июле 2001 года Агентство Перспективных Исследовательских Разработок МО США не выделило на эту программу денег. Сразу после этого, нашлись и другие спонсоры, да и руководство Пентагона решило полностью профинансировать этот проект, так как посчитало, что полученное безопасное программное обеспечение полностью компенсирует все затраты.

Появился уже и первый отклик на это сообщение от разработчиков открыто-исходного программного обеспечения. Так, Джей Беал, эксперт по безопасности Linux и основатель JJB Security Consulting заявил: "Я влюбился в эту идею, и мы полностью ее поддержим. Основная сила этой идеи в том, что разработчики будут знать, какие фрагменты программы проверены на безопасность, а какие –еще нет.... И люди будут идти и просматривать наш материал, что получить свои «очки кармы» и создать себе имя и авторитет".

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену