форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
Сообщение от opennews on 11-Июл-15, 14:37
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил (https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...) проект Census (https://www.coreinfrastructure.org/programs/census-project). Задачей проекта является выявление открытых проектов, нуждающихся в первоочередном аудите кодовой базы и оценке защищённости. Для выявления подобных проектов сформирован рейтинг, который учитывает различные составляющие, такие как число выявленных уязвимостей, размер активного сообщества разработчиков, наличие отдельного сайта, популярность и важность приложения, заимствование кода в других проектах, число задействованных в работе зависимостей, число дополнительных патчей в deb-пакете, статистику ABRT о крахах. После оценки всех имеющихся метрик для каждого проекта рассчитывается степень риска. Например, наибольший уровень риска будет присвоен проектам, поддерживаемым несколькими разработчиками, имеющими известные уязвимости в прошлом и активно применяемые для построения сетевых сервисов. Самый большой 11 (из максимальных 16) уровень риска  присвоен проектам  tcpd, whois, ftp и netcat-traditional. Все данные и  скрипты опубликованы (https://github.com/linuxfoundation/cii-census) на GitHub под лицензией MIT. В качестве источников мета-данных используются репозиторий пакетов Debian и база данных Black Duck Open Hub (http://openhub.net). <center><a href="https://www.coreinfrastructure.org/sites/cii/files/styles/la... src="http://www.opennet.me/opennews/pics_base/0_1436613702.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center> URL: https://www.coreinfrastructure.org/news/blogs/2015/07/open-s... Новость: http://www.opennet.me/opennews/art.shtml?num=42599
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	–1 +/–
Сообщение от Аноним (??) on 11-Июл-15, 15:09
А могли бы не вручную функцию сочинять, а machine learning натренировать — на это бы я посмотрел с удовольствием.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Аноним (??) on 11-Июл-15, 15:17
	каким образом? )
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	14. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+2 +/–
	Сообщение от Аноним (??) on 11-Июл-15, 17:14
	Ясно каким, искусственный интеллект изобрели бы. Делов-то?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	25. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Andrey Mitrofanov on 11-Июл-15, 22:18
	> Ясно каким, искусственный интеллект изобрели бы. Делов-то? Кластеры http://www.ixbt.com/news/2015/07/11/digital-reasoning-160.html NSA ответят на вызов! //Надо скайзаканчивать рекламировать нетголивуд. -- electronic surveillance satellite imagery George W. Bush brigand interception espionage Israel Cohiba condor Operation Iraqi Freedom cypherpunk Albright Albanian Ruby Ridge sniper
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	12. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+4 +/–
	Сообщение от Аноним (??) on 11-Июл-15, 16:42
	Да, хороший цирк сейчас редко встречается...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+2 +/–
Сообщение от Аноним (??) on 11-Июл-15, 15:13
Я бы на 1 место воткнул OpenSSL, GnuTLS и LibreSSL. Вцелом дело благородное и нужное. СПО вашему дому, друг мой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+7 +/–
Сообщение от Аноним (??) on 11-Июл-15, 15:24
OSS-2015-06-19.docx - оксюморон в репозитории
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+2 +/–
	Сообщение от Аноним (??) on 11-Июл-15, 16:36
	https://github.com/dankohn ничего удивительного, ведь автор хипстор-дегенерат
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
Сообщение от Аноним (??) on 11-Июл-15, 15:41
whois??? Что там может быть небезопасного?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Аноним (??) on 11-Июл-15, 18:11
	> whois??? > Что там может быть небезопасного? А whois инфу откуда тянет?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	17. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	–1 +/–
	Сообщение от A.Stahl (ok) on 11-Июл-15, 18:17
	Да хоть с серверов Микрософта. Он же её никак не "исполняет". И не использует для запуска или настройки другого кода. Тоже не понимаю, что может быть опасного в whois.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	20. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Vee Nee on 11-Июл-15, 18:49
	Действительно странновато с whois вышло и спорно на мой взгляд. Единственный CVE связанный с whois, который я нашел, говорит о переполнении буфера и возможной атаке через слишком длинный аргумент комм. строки, при вызове whois клиента из CGI скрипта. Что на мой взгляд куда более серьезный баг в CGI скрипте, нежели в whois.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	21. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Котан on 11-Июл-15, 18:57
	Дядя, любая программа, у которой есть входные данные, может быть подвержена взлому. PDF-вьюеры тоже ничего не исполняют, это не значит что их нельзя поломать.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	22. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+3 +/–
	Сообщение от rob pike on 11-Июл-15, 19:47
	> From Version 3.02 onwards, Acrobat Reader (now Adobe Reader) has included support for JavaScript. This functionality allows a PDF document creator to include code which executes when the document is read
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	29. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от user (??) on 11-Июл-15, 22:45
	Есть ли где-то список читалок PDF, в которых эта срань отсутствует by design?
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	33. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Прохожий (??) on 15-Июл-15, 19:44
	> Есть ли где-то список читалок PDF, в которых эта срань отсутствует by > design? evince
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	26. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Andrey Mitrofanov on 11-Июл-15, 22:25
	> whois??? > Что там может быть небезопасного? Это псевдоним, под которым в забеге участвовал kenel.org. ++ Кто здесь эту крэшемерку качал-читал, "linux" там есть вообще?! А "firefox"? Ну "KDBUS"-то нет, это http://www.phoronix.com/scan.php?page=news_item&px=NSA-KDBUS... понятно. ---о! "systemd" -- восходящий трынд кр[ыэ]шей?! ...Глобальнее, Владимир. Глобальнее!
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+5 +/–
Сообщение от YetAnotherOnanym (ok) on 11-Июл-15, 16:05
Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело спускать в дренаж.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	27. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Andrey Mitrofanov on 11-Июл-15, 22:29
	> Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело Камрад YetAnotherOnanym B) из соседней новости также реквестует^Wвопиет, что там с рейтингами php, java/openjdk/jre, perl и bash? --http:/openforum/vsluhforumID3/103593.html#9 > спускать в дренаж. Не для этого мы здесь собрались! Или... да?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	28. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от ананим.orig on 11-Июл-15, 22:33
	> Сформированный при организации Linux Foundation Зыж Странно что не iexplorer.exe. Народу с опеннета то всё-равно. Ззыж Не, ну я понимаю если бы троллили на тему gnutls (в генте 99% софта можно собрать с ним вместо openssl. А может и больше — не проверял). Правда с ним и таких фейков не приключалось. Но всё-таки.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	34. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от robux (ok) on 16-Июл-15, 07:25
	> на первом месте не OpenSSL, рейтинг можно смело спускать Дык рейтинг строился не только по параметру "самое дырявое", но и с учётом параметра "самое важное". OpenSSL самый важный из самых дырявых. Как-то так.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+3 +/–
Сообщение от Анонимус сапиенс on 11-Июл-15, 16:35
Ожидал увидеть в начале openssl, openssh.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	24. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+1 +/–
	Сообщение от solardiz (ok) on 11-Июл-15, 21:19
	OpenSSL и OpenSSH здесь нет по двум причинам: во-первых, они были в предыдущих списках (составленным по субъективным критериям, еще до этой попытки вычисления уровня риска) и уже финансируются в рамках CII, а во-вторых, на этот раз одним из критериев повышенного риска взято сочетание популярности и заброшенности (отсутствие недавних коммитов). По-моему, это осмысленно, хотя по конкретному набору проектов, и особенно по дальнейшим действиям в отношении них (аудит? и/или активная замена в дистрибутивах на поддерживаемые аналоги? и/или выкидывание из дистрибутивов?), можно спорить. Мы (несколько человек из Openwall) собираемся принять участие в ближайшем CII workshop, так что спорить будем. ;-)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	30. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Pilat (ok) on 12-Июл-15, 01:47
	Скорее всего хотят сначала отладить технологию такого аудита и собрать людей, практикуясь на сравнительно небольших проектах.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

13. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
Сообщение от MPEG LA (ok) on 11-Июл-15, 16:58
кто-то пользуется tcpd?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	32. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+1 +/–
	Сообщение от ы on 15-Июл-15, 18:27
	без него же tcp не работает
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
Сообщение от анонимус вульгарис on 11-Июл-15, 17:24
> Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил проект Census. Кто на ком стоял?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
Сообщение от Аноним (??) on 11-Июл-15, 18:29
OpenSSL OpenSSH Firefox ipv6 подсистема ядра. На аудит вышеперечисленного готов даже пожертвовать денег. >netcat Не готов. >ftp за употребление этого протокола в 201Х году предлагаю расстреливать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	–3 +/–
	Сообщение от Аноним (??) on 11-Июл-15, 20:10
	> за употребление этого протокола в 201Х году предлагаю расстреливать. И чем протокол не угодил? - Тем что в вашей голове не укладывается сочетание "FTP в 201X году" ? Может дело в голове?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	35. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 06:26
	А вам сразу облака подавай?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
Сообщение от Аноним (??) on 12-Июл-15, 02:25
Почему же в рейтинге нет gnupg? Или о нём типа уже позаботились?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	36. "Сформирован рейтинг СПО, требующего первоочередного аудита б..."	+/–
	Сообщение от Аноним (??) on 15-Фев-16, 22:55
	Я скажу всем, до чего довёл планету этот gnu PG! Пацаки чатланам на голову сели! Кю!!!
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема