Создан проект по обеспечению информационной безопасности открытого ПО

image

Теги: открытое ПО, Intel, Google, Mandriva

Инициатива, получившая название oCERT (Opensource Computer Emergency Response Team), имеет своей целью исследование безопасности открытого программного обеспечения, а также расследование инцидентов, связанных с ним.

Группа ИТ-профессионалов из разных компаний при поддержке Google и Intel запускает проект по обеспечению информационной безопасности открытых продуктов. Инициатива, получившая название oCERT (Opensource Computer Emergency Response Team), имеет своей целью исследование безопасности открытого программного обеспечения, а также расследование инцидентов, связанных с ним.

Организаторы oCERT говорят, что необходимость создания такой группы уже давно созрела, так как открытое ПО уже давно применяется не только на компьютерах пользователей-энтузиастов, но и в корпоративных и государственных средах. Впервые идея создания oCERT была выдвинута еще на прошлогодней конференции CanSecWest, однако тогда перед инициаторами стояло множество организационных и технических проблем.

На сегодня в oCERT входят представители компаний Intel, Google, Mandriva, Gentoo, SecWest, Open Source Lab, а также разработчики популярных открытых программ OpenSSH, Nmap и других.

В ближайшее время новая группа займется подборкой и публикацией списков уязвимостей, обнаруженных в открытых программах, а также анализом кодов. Помимо этого, oCERT возьмет на себя координационные функции, в частности, будет координировать процессы разработки многих продуктов и руководить выпуском патчей для них.

"Небольшие открытые проекты часто не имеют каких-либо выработанных процедур для работы над исправлениями и редко расследуют уязвимости в своем ПО, однако зачастую их код становится частью более глобальных проектов, которые наследуют уязвимости. В результате без должной координации усилий здесь не обойтись", - говорит Андреа Барисани, координатор и основатель oCERT.

По словам Барисани, в течении ближайшего месяца присоединится к группе предложат всем Linux-вендорам, а также разработчикам популярных Opensource-продуктов. Однако для того, чтобы стать полноправным членом oCERT разработчик должен выполнить ряд требований, например, подписать соглашение, где он обязуется не замалчивать ситуацию с обнаруженными багами, а также выделить минимум одного эксперта для контактов с oCERT.

"Мы намерены работать быстро, насколько это только возможно, чтобы во-первых, воздать действенную группу помощи, а во-вторых, чтобы дать пользователям Opensource те гарантии, которых пока нет", - говорит Барисани.


или введите имя

CAPTCHA
1
05-04-2008 20:13:29
Молодцы!
0 |
1
06-04-2008 12:35:58
День начался с хорошей новости)
0 |
1
06-04-2008 15:07:09
Небольшие открытые проекты часто не имеют каких-либо выработанных процедур для работы над исправлениями и редко расследуют уязвимости в своем ПО, однако зачастую их код становится частью более глобальных проектов, которые наследуют уязвимости.Вот почему Винда лучше!
0 |
1
07-04-2008 03:38:42
Вот почему Винда лучше! Оно и видно, что лучше. Дырка на дырке, патчи для патчей, пустозвонство при каждом релизе про "наша новая винда - самая безопасная в мире". Пора бы уже понимать, что эта контора не ставит целью реальное качество, она стремится к извлечению максимальной выгоды при минимуме работы над кодом. Это их право...право на добровольную эвтаназию. Проблемы переноса уязвимостей из небольших проектов в глобальные - это проблема совсем другого уровня и из другой области. Винда в этой сфере в принципе неконкурентоспособна.
0 |
1
07-04-2008 07:01:27
Цитата Небольшие открытые проекты часто не имеют каких-либо выработанных процедур для работы над исправлениями и редко расследуют уязвимости в своем ПО, однако зачастую их код становится частью более глобальных проектов, которые наследуют уязвимости. Вот почему Винда лучше! Дубинушка, небольшие ЗАКРЫТЫЕ проекты вообще кладут * на безопасный стиль программирования и исправление багов - 1-2 студента-разработчика и никакой команды тестеров и уж тем более команды безопасности нет. А в КРУПНЫХ открытых проектах, так же как и в закрытых, есть и выработанные процедуры для работы над исправлениями, есть security team, есть процесс тестирования. Примеры: некоммерческий Debian c 4 стадиями тестирования(stable, testing, unstable, experimental), со своей командой безопасности security.debian.org и строгой политикой разработки Debian Policy, есть и коммерческие RHEL и SLES, сотрудники которых выполняют ту же самую работу full-time и несут ответсвенность вплоть до увольнения за ненадлежащее качество работы. И у каждого крупного Opensorce компонента этих систем уровня Apache, Samba, Mysql, Postgresql, Postfix и т.д. есть процедура тестирования, набор автоматических тестов, тесты на деградацию производительности, команда переводчиков, координаторы проекта, своя команда безопасности и т.д. Заепали маркетологи, вечно что-то врут, недоговаривают, приводят исключительно выгодные для себя результаты и проводят хитрожопые сравнения производительности ОС, сравнивая Linux на железе Z-series против Win 2003 на x86 железе(M$ Get the Facts).
0 |
07-04-2008 14:54:09
Заепали маркетологи, вечно что-то врут, недоговаривают, приводят исключительно выгодные для себя результаты и проводят хитрожопые сравнения производительности ОС К этому уже все привыкли. Пишут или о том, кто достоен и пробился, или о том у кого на это бабосов хватит. Во втором варианте пишется активнее и есть где фантазии развернуться.
0 |
1
07-04-2008 18:43:25
Ага, только ОТКРЫТЫМ проектам это не помогает: мало того что глюк, так еще и дырявый. Вот только реверс инжениринг делать не надо, что конечно же намного лучше!
0 |
1
07-04-2008 09:47:37
вот и правильно. теперь приложение OSS будут еще надежнее. кстати, неплохо бы сделать аналог oCERT у нас, и развитию OSS поможет, и с засильем винды неминуемо бодаться начнет.
0 |