В Департаменте внутренней безопасности США проверили качество открытого кода

image

Теги: Open Source, код, уязвимость

Согласно данным исследования 180 наиболее используемых открытых программных продуктов, в среднем на 1 000 строк программного кода приходится 1 ошибка или уязвимость безопасности, приводящая к угрозе атаки на систему или несанкционированному доступу.

В Департаменте внутренней безопасности США завершено очередное исследование открытого программного обеспечения. Согласно данным исследования 180 наиболее используемых открытых программных продуктов, в среднем на 1 000 строк программного кода приходится 1 ошибка или уязвимость безопасности, приводящая к угрозе атаки на систему или несанкционированному доступу.

Проект, получивший название Open Source Hardening Project, был инициирован и спонсирован американским ведомством, однако проведен он был исследовательской компанией Coverity и Стенфордским университетом. Проект стартовал к конце 2006 года и обошелся в 300 000 долларов.

В заявлении Департамента говорится, что почти во всех проектах были найдены ранее неизвестные ошибки, в том числе и критические. Всего же с 2006 года было проанализировано 50 млн строк кода, входящего в 250 проектов, а разработчики получили данные о 7 826 уязвимостях.

В компании Coverity также сообщили, что провели расширенное тестирование 400 закрытых коммерческих продуктов по заказу государственных органов и разработчиков этих продуктов, однако ни госзаказчик, ни разработчики не дали прав на разглашение результатов тестирования коммерческих продуктов.

Исследователи говорят, что многие открытые продукты прошли несколько кругов тестирования, в результате которых количество ошибок сокращалось, так как для них выпускались патчи. Несмотря на это, даже после трех раундов тестирования, говорят в Coverity, осталось 11 популярных открытых продуктов, в которых по-прежнему присутствуют уязвимости и ошибки. К таким продуктам исследователи отнесли Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba и TCL. Были найдены ошибки и в таких продуктах, как ядро Linux, Apache и Firefox.

Однако, по словам Девида Максвела, аналитика Coverity, фактически второй раунд тестирования означал максимально строгое тестирование, в котором были использованы наиболее продвинутые механизмы детектирвоания, в том числе различные предикативные методы и эвристический анализ. Максвелл говорит, что в случае, если продукт доходит до второго раунда, то фактически это означает пригодность этого продукта к использованию в подавляющем большинстве сред.

Еще одной особенностью открытых программных продуктов стала максимальная оперативность их создателей в исправлении ошибок. Так, например программное обеспечение Samba содержит в себе около 450 000 строк кода, где за год было найдено 236 различных недочетов, 228 из которых полностью устранены к завершению исследования.


или введите имя

CAPTCHA
Страницы: 1  2  3  
14-01-2008 09:17:17
Хоть кто-то нормальными вещами занимется. Интересно - у нас такое когданить будет?
0 |
1
14-01-2008 09:21:38
чего ж не огласили сколько ошибок в проприетарщине? уж статистику то можно было сказать. Видимо она не в пользу закрытого ПО, и во много раз.
0 |
FSA
14-01-2008 09:57:31
Огласите пжалуйста исходный код проприетарных продуктов, чтобы провести тестирование!
0 |
1
14-01-2008 16:52:24
ниасилил статью? В компании Coverity также сообщили, что провели расширенное тестирование 400 закрытых коммерческих продуктов по заказу государственных органов и разработчиков этих продуктов, однако ни госзаказчик, ни разработчики не дали прав на разглашение результатов тестирования коммерческих продуктов.сырцы проприетарных программ у специалистов были. да видимо нечем было похвастаться перед открытым ПО, деликатное молчание спецов говорит само за себя: информацию придержали, видимо было чего скрывать.
0 |
1
16-01-2008 07:41:12
Феерический бред
0 |
1
14-01-2008 09:22:32
вполне отличный результат. открытый код на то и открытый что бы искать и устранять. интересно посмотреть отчет о результатах того же самого некрософта. думаю из 1000 сторок кода лишь одна будет правильна.
0 |
1
14-01-2008 09:26:12
>> думаю из 1000 сторок кода лишь одна будет правильна. Ну почему одна ? две. Первая, где объявляется тип и имя функции, и последняя, где закрывающая операторная скобка "}". <type> <name>(){ ............ }
0 |
1
14-01-2008 11:03:49
Почему две? На 800,000 строк в винде одна ошибка - это сама винда.
0 |
1
15-01-2008 05:42:53
А чего ошибка - то? Это смотря для кого. Лично для меня - да. Но для В.Гейтса отнюдь не проблема. По крайней мере, в финансовом плане игра стоила свечь.
0 |
1
14-01-2008 09:27:35
Департамент внутренней безопастности США провел очередное исследование. в закрытом коде некрософта правильного кода обнаружено не было
0 |
1
14-01-2008 09:48:54
Только первый отписавшийся адекватный чел, остальные помешанные на линухе и open Source фанатичные недоумки. Которые до сих пор своими куцыми мозгами никак не могут понять, что большинство разработчиков-добровольцев, это амбициозные недоучки, которым в принципе, по барабану, какая-то там безопасность и прочее. Для проприетарного ПО подход к этому делу намного строже, да и квалификация разрабов намного выше.
0 |
1
14-01-2008 09:50:20
до ближайшей стены сам добежишь?
0 |
1
14-01-2008 09:53:16
Ты побеспокойся о том, что бы самому успеть добежать, юноша. Не добежишь- утонешь в дерьме.
0 |
1
14-01-2008 10:43:44
судя по вашим выходкам тут вы маленький прыщавый красноглазик. я работаю с несколькими ос (винда пристутвует) и программированием тоже занимаюсь, так что ваше высказываемое мнение абсолютно хм "ламерское". в некоторых довольно уважаемых конторах аудит кода не проводиться вообще (знаем плавали)
0 |
1
14-01-2008 11:49:37
> в некоторых довольно уважаемых конторах аудит кода не проводиться вообще (знаем плавали) Ну вот. Убил у человека веру в святое - веру в надежность и безопасность закрытого кода. Сообщество фанатов закрытого кода верит и надеется, молится и считает, что закрытый код пишут мегапрофессионалы, а не дешевые индусы, что они не спят ночами и до изнеможения перепроверяют код, задерживаются на работу до утра чтобы найти капкой-нибудь баг и отшлифовывают свой код пока не почувствуют глубокое удовлетворение. А ты... поставил под сомнения заповеди служителей культа Закрытого Кода, апологетов восславляющих "черный ящик" ...
0 |
1
15-01-2008 13:37:24
ананимус нацист... пора вам батенька в родной советский колумбарий... хотя предварительно нюрнберг...эшафот...веревка В 33-м не было линупса и гитлер реализовал свою тягу к разрушениям через совсем другие инструменты...) даёшь каждому фанатичному линупсятничку по электрическому стулу!
0 |
1
16-01-2008 10:43:10
> ананимус нацист... пора вам батенька в родной советский колумбарий... хотя предварительно нюрнберг...эшафот...веревка В 33-м не было линупса и гитлер реализовал свою тягу к разрушениям через совсем другие инструменты...) С какой, позвольте, стати если называть вещи своими именами, например, индусов, которые дешево занимаются разработкой ПО посредственного качества в аутосортинговых компаниях, назвать индусами, а китайцев, массово клепающих ширпотреб такого же посредственного качества - катайцами, сразу становишься нацистом?! Вобщем, фанатичные служители культа пиратских окон(не путать с обычными пользователями, некоторые не строят культа из операционной системы, а просто работают с программами) снова продемонстрировали невменяемость и отсутствие логики.
0 |
1
14-01-2008 10:20:58
http://www.securitylab.ru/news/310653.php Там русским языком написано кого со второго курса выгнали.... а кто окончил университет. А по теме. если бы ошибок было меньше в закрытом коде, то и результаты исследования не стали бы прятать. А раз спрятали, значит провал полный....... Так что.... высчитывай растояние до стены и свои силы.
0 |
1
15-01-2008 09:35:51
Там русским языком написано кого со второго курса выгнали.... а кто окончил университет. Ленин, согласно биографии, тоже не окончил университет. Опять же Чапаев: "Мы университетов не кончали". А люди-то какие и натворили что. А сегодняшние, платно окончившие расплодившиеся "университеты" вообще ничего не изучили из университетского курса (хочется думать, что не все)
0 |
1
15-01-2008 13:38:40
один из преподавателей о билли: "билли был отвратительным человеком но гениальным программистом."
0 |
1
14-01-2008 10:26:03
Дада, расскажи про неамбициозных переучек - индусов, которые пишут дерьмо, которое M$ впаривает имбецилам. `Microsoft выпустила обновленную версию релиз-кандидата SP1 для Windows Vista'. Розовые очки-то сними, не маленький вроде уже.
0 |
1
15-01-2008 13:40:24
не нужно большого ума назвать имбицилами (причем сделать орфографическую ошибку в слове значения которого ты не понимаешь в силу своей деменции) ведущие мегакорпорации мира. Иди уроки доучивай, пацанчег.
0 |
1
14-01-2008 11:48:00
Для проприетарного ПО подход к этому делу намного строже, да и квалификация разрабов намного выше.стоит просто пообщаться с людьми, работающими в сфере разработки проприетарного софта если в открытых проектах огрехи архитектуры исправляются новой версией, то в проприетарщине они маскируются дополнительными костылями
0 |
1
15-01-2008 13:42:29
ой вот писдеть только не надо. PCBSD, релиз 1.4.1. с релиза 1.1 и до сих пор не убран дикий глюк с выбором языка пользователя и невозможностью потом залогиниться в систему. Очень очень долго народу капали на мозги - результат.... Сами догадаетесь какой?
0 |
1
14-01-2008 12:47:14
> Которые до сих пор своими куцыми мозгами никак не могут понять, что большинство разработчиков-добровольцев, это амбициозные недоучки, которым в принципе, по барабану, какая-то там безопасность и прочее. Точно! А разработчики винды - суперпрофессионалы, элита лучших индийских ПТУ, которая пишет вот такие вот шедевры: http://support.microsoft.com/kb/320397/ru - слетающий загрузчик http://www.securitylab.ru/blog/Shred/475.php?phrase_id=214321 - MessageBox() убивающий систему http://www.securitylab.ru/vulnerability/293565.php - ANI взламывающий юзеров http://www.securitylab.ru/vulnerability/204208.php - JPEG взламывающий юзеров http://www.securitylab.ru/42843.htm - BMP взламывающий юзеров http://www.securitylab.ru/vulnerability/243581.php - WMF взламывающий юзеров(бэкдор SETABORTPROC для выполнения шеллкода из картинок встроен на этапе разработки Windows) http://www.securitylab.ru/vulnerability/202251.php, http://www.securitylab.ru/news/213298.php, http://www.securitylab.ru/news/213147.php, http://www.securitylab.ru/vulnerability/203379.php - несколько знаменитых переполнение стека и кучи в DCOM (Дуршлаговая Компонентная Модель) Вот было время - любой спамер мог за пару часов собрать миллионный ботнет из дырявых маздаек... http://www.securitylab.ru/poc/222022.php - LSASS remote root http://www.securitylab.ru/vulnerability/203001.php - ASN remote root http://www.securitylab.ru/vulnerability/201306.php - IIS remote root http://www.securitylab.ru/notification/236841.php - Workstation remote root http://www.securitylab.ru/vulnerability/271329.php - Server remote root http://www.securitylab.ru/vulnerability/205794.php - SMB remote root http://www.securitylab.ru/vulnerability/206115.php - Print Spooler remote root http://www.securitylab.ru/vulnerability/202451.php - Messenger remote root http://www.securitylab.ru/notification/237085.php - WINS remote root http://www.securitylab.ru/poc/294419.php - DNS remote root для взлома домен-контроллеров, легко пробивающий мегазащиту DEP win2003sp2 http://news.securitylab.ru/news/311340.php - свежий Winnuke 2008 + все тот же дырявый LSASS По переполнениям сразу видно почерк доучек-профессионалов, гуру в области создания BOF для удаленной компрометации с наивысшими привилегиями, знатоков битов и байтов, реальных суперспециалистов, которые в отличие от опенсорсных недоучек, уделяют огромное внимание безопасности. * упал под стул
0 |
1
14-01-2008 14:20:57
хотелось бы заметить, что это только удаленный захват компа. про то, что локальный юзер, имеющий право загружать/запускать на системе файло запросто может получить права админа, речи даже не идет. По переполнениям сразу видно почерк доучек-профессионалов...ну там не только переполнения в 95-й линейке мелкософт сильно увлекались коллбеками и до сих пор, даже в NT-линейке они разгребают то, что тогда наворотили, подставляя костыли и делая предварительные проверки адресов вызова и т.д. в общем, работы по исправлению прежних архитектурных косяков у них еще хватает
0 |
1
14-01-2008 23:23:47
> http://news.securitylab.ru/news/311340.php - свежий Winnuke 2008 + все тот же дырявый LSASS Оказывается это не просот Winnuke 2008, это потенциальный TCP/IP remote: "1. Уязвимость существует из-за ошибки в реализации TCP/IP в драйвере tcpip.sys при обработке IGMPv3 и MLDv2 запросов. Удаленный пользователь может с помощью специально сформированного IGMPv3 или MLDv2 пакета аварийно завершить работу системы или выполнить произвольный код." Доучки-спецы по закрытому коду отжигают. Эксплоит на мегадырявый TCP дырявых окошек, наверное, под 30 килобаксов на черном рынке продают. )))
0 |
1
15-01-2008 13:45:03
а теперь плз работающие эксплойты в студию. один (нет, два!) раз ты уже обкакался с неработающими дырами, обкакаесся и еще раз. А заодно расскажи как от пинга падал линупс, суперпроверяемый, супероткрытый и суперпрофессиАНАЛьный...
0 |
1
15-01-2008 21:12:33
Могу рассказать, как от пинга NT4 уходила в себя до питания или до выхода SP3. Мы так себе место на кваковом сервере отвоевывали
0 |
1
16-01-2008 11:15:16
> а теперь плз работающие эксплойты в студию. А вот хрен тебе по всей морде. Не собираюсь облегчать жизнь скрипткиддису, который не может сам нагуглить dcom.c, KAHT, webdav.c, wins.c, mfs и уж тем более ниасиливает поправить кое-где заваленные шеллкоды, найти и прописать правильные адреса возврата чтобы эксплоиты стали работающими. Для доказательства дырявости вполне достаточно официального признания уязвимостей и уровня опасности. Или ты хочешь доказать, что не было кучи дырок и что не драли виндовые машины с утра до ночи не вынимая пока беспредел не начали вмешиваться провайдеры, которые стали блокировать порты на маршрутизаторах, чтобы хоть как-то уберечь дырявые окошки? > один (нет, два!) раз ты уже обкакался с неработающими дырами С какими? Приводи аргументы, а не газифицируй тут лужи. > А заодно расскажи как от пинга падал линупс, суперпроверяемый, супероткрытый и суперпрофессиАНАЛьный... Ну и на старуху бывает проруха. Я не имею иллюзий о том, что Linux идеален. Очень неплохо смотрится эта система от "амбицозных недоучек" с учетом того, что одних только аналогичных винньюков на творение мегапрофессиональных кодеров было с десяток. Да и KAHT-ом и десятками других remote root-ов никто не ломал линуксы пачками как дырявые маздайки. На винде даже вебсервера IIS, даже apache/win32 (chunk), не говоря уже про mssql до **SYSTEM** удаленно ломались.
0 |
1
14-01-2008 16:06:13
Чувак. ты хоть раз работал в проплиетарной конторе? Чтобы такое говорить, поверь, чтобы следить за безопасностью в таких конторах нужно еще больше денег. А это им не надо. Короче, просто поверь. если не понимаешь.
0 |
1
15-01-2008 05:48:36
Ну где же он адекватный? Хотя это по-нашенски, по-рашенски... Что бы ни случилось - спесь и пессимизм. "А когда у нас начнут..." А кто начнёт? ИТ-спецы? А вы, извините, кто, ассенизатор чтоли? Тогда что вы делаете здесь? У нас начнут когда это будет нужно тем самым "нам". А пока хорошо, что хоть "у них" сделали, и то польза.
0 |
1
15-01-2008 09:09:50
В основном в компаниях разрабатывающих ПО, анализ и правка багов прекращается если 95% тестов проходит успешно. Но не все компании вообще должным образом тестируют свой пробукт. Я уже и не говорю о том, какое количество ошибок остается в тех же 1000 сток кода. Думаю тут и так все ясно. 1 ошибка в 1000 стр. кода. - на мой взгляд - отличный результат. И особенно замечательно, то что их еще и нашли. А вот баги найденные в закрытых продуктах никто не гарантирует, что их исправят. Так что фанат Windows попытайтесь все же вернуть себе мозги, независимо от того, где вы их оставили.
0 |
1
14-01-2008 09:48:58
показатель,кстати..в прочих закрытых продуктах годами не правятся ошибки
0 |
14-01-2008 09:52:51
Самбовцы молодцы
0 |
1
14-01-2008 10:08:51
Да, хотелось бы услышать хотя бы расплывчатые фразы типа: закрытый код показал себя несколько хуже/лучше и т.д. Хотя никсоводы думаю уже догадались, как обстоят дела
0 |
Страницы: 1  2  3