LINUX.ORG.RU

Census — проект аудита СПО

 ,


0

1

Census — это новый проект, организованный Core Infrastructure Initiative при поддержке Linux Foundation, нацеленный на выявление критических ошибок в ключевом открытом ПО, нуждающемся в аудите. В основные задачи этого аудита, в первую очередь, включено выявление проблем безопасности. Основную роль в рождении идеи и её реализации сыграли многочисленные факты выявления уязвимостей в популярном свободном программном обеспечении.

В настоящий момент в рамках проекта предлагается оценивать кандидатов на аудит по собственной шкале, которая учитывает различные факторы: от наличия официального веб-портала до оценки активности разработчиков по различным критериям.

Уже сейчас представлен список первых кандидатов на аудит. К сожалению, механизм проведения аудита пока до конца не проработан.

>>> Подробности

★★★★

Проверено: Shaman007 ()

Как-то странно они выбрали проекты: tcpd, whois, ftp, netcat-traditional и at в топ-5. Я бы взял openssl, openssh, gpg, apache, openvpn или что-то в этом роде.

Klymedy ★★★★★ ()
Ответ на: комментарий от Klymedy

Эти эсэсэлы только ленивый сейчас не трясет, а они ищют покрытые пылью, но важные — я так понял.

mandala ★★★★ ()

даже не знаю, по мне так тянет на бетку, а это максимум мини-новость.

splinter ★★★★★ ()
Ответ на: комментарий от splinter

Аудит безопасности, поддерживаемый Linux Foundation — мини-новость? Серьезно?

Klymedy ★★★★★ ()
Ответ на: комментарий от Klymedy

К сожалению, механизм проведения аудита пока до конца не проработан.

Как видишь пиарить, к сожалению, пока собо нечего. ИМХО, думаю модеры поопытнее решат что с этим делать.

splinter ★★★★★ ()

Аудит Tor и Tor Browser собираются провести?

anonymous ()
Ответ на: комментарий от anonymous

Tor Browser

это тот, который основан на firefox?
искренне желаю удачи аудиторам

reprimand ★★★★★ ()
Ответ на: комментарий от reprimand

Вот аудит самого тора интересен. А тор браузер позиционирует себя как преднастроенный для тора фокс, не более. И прямо на дефолтной стартовой вкладке предупреждает о том, что ни тор-браузер, ни сам тор не гарантируют анонимности и приватности, как многие их воспринимают.

mandala ★★★★ ()
Ответ на: комментарий от Klymedy

А меня безудержно радует десятое место: hostname.

CVE count: 0
Direct Network Exposure: No
Process Network Data: No
Potential Privilege Escalation: No
Risk index: 9
9

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 1)

Какой тогда смысл в

представлен список первых кандидатов на аудит

, если

К сожалению, механизм проведения аудита пока до конца не проработан

?

Телега впереди лошади?

Deleted ()

Аудит Tox'а хорошо бы провести.

anonymous ()

А кто будет аудитить аудитора? Аудитора легче подкупить, а, значит, если у него большой процент доверия - он становится обыкновенным инструментом.

В борьбе со злом технологии бессильны.

anonymous ()

вода вода вода

К сожалению, механизм проведения аудита пока до конца не проработан.

и о чем новость?

unt1tled ★★★★ ()
Ответ на: комментарий от t184256

В принципе и в hostname могут быть уязвимости, проверить его стоит.

Klymedy ★★★★★ ()

хм... как-то туманно. как наличие веб-сайта или активность разработчиков влияют на безопасность? в целом, доказать отсутствие багов невозможно. но делать проверки на основании прогона некоей софтины - это как-то слишком странно.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

как наличие веб-сайта или активность разработчиков влияют на безопасность?

Тут логика в том, что более заброшенный проект (но важный при этом), должен быть более приоритетен в очереди на проведение аудита.

mono ★★★★★ ()

Самый главный вопрос: Бабло то просят? Если нет, то пускай проводят))

oblepiha_pie ()

Новость хорошая. Успеха им.
ps сам в коде не разбираюсь от слова совсем

sehellion ★★★★★ ()
Ответ на: комментарий от anonymous

Нет смысла проводить аудит того, что еще даже в бету не вышло.
Когда придет время, если вообще придет, тогда и будет аудит.

Vigi ()
Ответ на: комментарий от mandala

а они ищют

Чу! Никак ты свой парашют забыл и больно ударился головой? :)

Stahl ★★☆ ()
Ответ на: комментарий от Stahl

Ути-пути, какие мы нежные :). Странно, ты первый, граммарнаци видимо не интересна безопасность.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Она вообще мало кому интересна. Это удел админов и профильных программистов.
Я ничем помочь ситуации не могу. Могу лишь сказать: «Молодцы».

Stahl ★★☆ ()
Ответ на: комментарий от Vigi

Протокол tox очень перспективен. Решит кучу проблем с чатами, телефонией и видеозвонками. Всё неуничтожаемо и полностью децентрализированно. Без серверов телефонных компаний, скайпов и АНБ чисто шифрованные тунели между двумя общающимися людьми и без посредников!

Чаты, телефония и видеозвонки далеко не предел протокола TOX. Потенциально он сможет намного больше...

anonymous ()
Ответ на: комментарий от anonymous

И-и-и я всё это знаю, но это нисколько не отменяет того, что он еще не готов и аудит никто в своем уме сейчас делать не будет.

Да и слишком уж много надежд на этот протокол, он имеет все шансы зачахнуть, так и не дойдя до хоть сколько-нибудь завершенного состояния.

Vigi ()

Бред какой-то. Они еще не поняли, что будут аудиту подвергать? А последующие версии? Над гитом повесят табличку «under control»?

TecH-22 ()
Ответ на: комментарий от Klymedy

Доставивший лет десять тому назад всему сообществу баг в телнете про переполнение буфера несколькими IAC'ами подряд пылился на полке много лет. :)

Так что првильно люди делают.

gns ★★★★ ()

очередной маркетинговый ход. нас не нае...

anonymous ()
Ответ на: комментарий от TecH-22

Они еще не поняли, что будут аудиту подвергать?

В процессе.

А последующие версии?

Если их перепишут с нуля, то да, работа насмарку :). А так придется отслеживать лишь изменения.

mandala ★★★★ ()
Ответ на: комментарий от Klymedy

openssl, openssh, gpg, apache, openvpn

Которые после недавних событий только ленивый не трясет?

Вот много говорят про распыление усилий, а тут наоборот: одну и ту же работу зачем делать, если ты можешь быть полезен в другом месте, где ни кого нет?

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от anonymous

Тор штука местами полезная, но к «Core Infrastructure» явно не относится.

MrClon ★★★★★ ()
Ответ на: комментарий от Klymedy

Не, ну почему, интуиция подсказывает что по крайней мере tcpd и at вполне заслуживают особого внимания.

То что сразу взяли мелкие задачи, очень хорошо. Значит намерены работать практически, а не поражать воображение планами.

Вообще новость очень радует.

Csandriel ()
Ответ на: комментарий от Deleted

Да и ладно. Спиногрызы тоже делают первый шаг, нисколько не соображая и не планируя в деталях, как они собираются ходить. Так что, нет смысла вставать на ноги, пока не расчертишь динамику походки в развалочку?

Csandriel ()
Ответ на: комментарий от unt1tled

и о чем новость?

О том, что LF всерьез взялось за вопросы безопасности.

Csandriel ()
Ответ на: комментарий от anonymous

А кто будет аудитить аудитора?

Думаю как раз этот вопрос и подразумевается под оговоркой

еще не проработан до конца механизм аудита

В борьбе со злом технологии бессильны.

Комплекс бессилия — характерная черта менталитета хомяка. Для него все тлен и все бессильны. В тяжелых случаях, при слишком глубокой озабоченности непреодолимостью мирового зла, самоубийство неизбежно.

Csandriel ()
Ответ на: комментарий от Csandriel

правильно заголовок звучит так:

«Сформирован рейтинг СПО, требующего первоочередного аудита безопасности»

а не так:

«У! У! Мы сделали проект! ПроектБлджад! Ща как зааудитим ааа!11 Токо пока не знаем как и что, но надо! МЫ УЖЕ ИДЕЕЕМ!!11»

unt1tled ★★★★ ()
Ответ на: комментарий от unt1tled

правильно заголовок звучит так:

Это ты будешь решать, когда запилишь свою новость. Я считаю написали все правильно. Проект открыли? Открыли. Задачи поставили? Поставили. К решению организационных вопросов приступили? Приступили. Чего же боле?

Зачем тебе так важно унижать значение начинания? Потому что оно не твое? Или потому, что тебе с утра необходимо хоть кого-то поунижать? Кряхтишь не по делу, как та бабка с лавки.

Csandriel ()
Ответ на: комментарий от Csandriel

Так что, нет смысла вставать на ноги, пока не расчертишь динамику походки в развалочку?

«Динамика походки», говоришь... ;-)

У меня несколько иной взгляд на самопиар. Как у тех старорежимных качков, годами ломающих железо в своих подвалах. Но в принципе можно вначале заявить, что ты качок, а потом идти поглощать метан. А с ИБ (в контексте топика) это не прокатит. И пышнозвучащие конференции с тоннами макулатуры и «практикующими юристами» в принципе не обеспечивают ИБ, они ей мешают.

А вообще, стартапов, красиво распиаренных, мы видели много, но до финиша доходили единицы. Поэтому свои стартапы (а их на текущий момент ровно 9) я никогда не пиарю, если говорить обо мне.

А так, да, удачи пацанам.

Deleted ()
Ответ на: комментарий от Csandriel

Думаю как раз этот вопрос и подразумевается под оговоркой

Это твои личные домыслы.

Deleted ()
Ответ на: комментарий от mandala

Вот аудит самого тора интересен.

Внезапно утрою. Было бы интересно.

Deleted ()
Ответ на: комментарий от Deleted

Это твои личные домыслы.

А твой вопрос пришел в голову тебе первому?

А вообще, стартапов, красиво распиаренных, мы видели много, но до финиша доходили единицы.

Может быть потому, что были недостаточно хорошо и убедительно распиарены. Под любое дело ведь нужны спонсорство и прочее содействие.

Csandriel ()
Ответ на: комментарий от Csandriel

Может быть потому, что были недостаточно хорошо и убедительно распиарены.

Возможно. Вообще, в распиаривании проектов масса тонких моментов, целое искусство, я бы даже сказал.

Под любое дело ведь нужны спонсорство и прочее содействие.

Слава богу, пока не под любое дело нужен спонсор. Если иметь в виду такого спонсора, который спонсирует ради своей прибыли.

Выше писал, что у меня 9 стартапов. Так вот, успешных всего три. Если не считать пары «академических», то есть ориентированных на обеспечение процесса добычи и систематизации неких знаний. Ими я занимаюсь не очень активно и, скорее всего, подарю сообществу. Т.к. вряд ли смогу рассчитывать даже на спасибо.

Deleted ()
Ответ на: комментарий от Deleted

в распиаривании проектов масса тонких моментов, целое искусство, я бы даже сказал.
Не быстрому достается успешный бег, не храброму победа, не умномиу богатство, а время и случай для всех них

Csandriel ()
Ответ на: комментарий от Csandriel

...не храброму победа, не умномиу богатство...

Угу, где-то так ;-)

Deleted ()
Ответ на: комментарий от Deleted

Внезапно утрою. Было бы интересно.

Что там может быть интересного при таких спонсорах как ДАРПА и МФВ США. ДЦ АНБ ложился как-то, у тора пропускная рухнула. Что вы там все найти хотите-то ?

handbrake ★★★ ()
Ответ на: комментарий от handbrake

Дыры, а не уязвимости архитектуры, которые были заложены при создании.

mandala ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.