LINUX.ORG.RU

Census — проект аудита СПО

 ,


0

1

Census — это новый проект, организованный Core Infrastructure Initiative при поддержке Linux Foundation, нацеленный на выявление критических ошибок в ключевом открытом ПО, нуждающемся в аудите. В основные задачи этого аудита, в первую очередь, включено выявление проблем безопасности. Основную роль в рождении идеи и её реализации сыграли многочисленные факты выявления уязвимостей в популярном свободном программном обеспечении.

В настоящий момент в рамках проекта предлагается оценивать кандидатов на аудит по собственной шкале, которая учитывает различные факторы: от наличия официального веб-портала до оценки активности разработчиков по различным критериям.

Уже сейчас представлен список первых кандидатов на аудит. К сожалению, механизм проведения аудита пока до конца не проработан.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 11)

Как-то странно они выбрали проекты: tcpd, whois, ftp, netcat-traditional и at в топ-5. Я бы взял openssl, openssh, gpg, apache, openvpn или что-то в этом роде.

Klymedy ★★★★★
()
Ответ на: комментарий от Klymedy

Эти эсэсэлы только ленивый сейчас не трясет, а они ищют покрытые пылью, но важные — я так понял.

mandala ★★★★★
() автор топика
Ответ на: комментарий от Klymedy

К сожалению, механизм проведения аудита пока до конца не проработан.

Как видишь пиарить, к сожалению, пока собо нечего. ИМХО, думаю модеры поопытнее решат что с этим делать.

splinter ★★★★★
()
Ответ на: комментарий от reprimand

Вот аудит самого тора интересен. А тор браузер позиционирует себя как преднастроенный для тора фокс, не более. И прямо на дефолтной стартовой вкладке предупреждает о том, что ни тор-браузер, ни сам тор не гарантируют анонимности и приватности, как многие их воспринимают.

mandala ★★★★★
() автор топика

Какой тогда смысл в

представлен список первых кандидатов на аудит

, если

К сожалению, механизм проведения аудита пока до конца не проработан

?

Телега впереди лошади?

Deleted
()

А кто будет аудитить аудитора? Аудитора легче подкупить, а, значит, если у него большой процент доверия - он становится обыкновенным инструментом.

В борьбе со злом технологии бессильны.

anonymous
()

вода вода вода

К сожалению, механизм проведения аудита пока до конца не проработан.

и о чем новость?

unt1tled ★★★★
()
Ответ на: комментарий от t184256

В принципе и в hostname могут быть уязвимости, проверить его стоит.

Klymedy ★★★★★
()

хм... как-то туманно. как наличие веб-сайта или активность разработчиков влияют на безопасность? в целом, доказать отсутствие багов невозможно. но делать проверки на основании прогона некоей софтины - это как-то слишком странно.

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

как наличие веб-сайта или активность разработчиков влияют на безопасность?

Тут логика в том, что более заброшенный проект (но важный при этом), должен быть более приоритетен в очереди на проведение аудита.

mono ★★★★★
()

Самый главный вопрос: Бабло то просят? Если нет, то пускай проводят))

oblepiha_pie
()

Новость хорошая. Успеха им.
ps сам в коде не разбираюсь от слова совсем

sehellion ★★★★★
()
Ответ на: комментарий от anonymous

Нет смысла проводить аудит того, что еще даже в бету не вышло.
Когда придет время, если вообще придет, тогда и будет аудит.

Vigi
()
Ответ на: комментарий от Stahl

Ути-пути, какие мы нежные :). Странно, ты первый, граммарнаци видимо не интересна безопасность.

mandala ★★★★★
() автор топика
Ответ на: комментарий от mandala

Она вообще мало кому интересна. Это удел админов и профильных программистов.
Я ничем помочь ситуации не могу. Могу лишь сказать: «Молодцы».

Stahl ★★☆
()
Ответ на: комментарий от Vigi

Протокол tox очень перспективен. Решит кучу проблем с чатами, телефонией и видеозвонками. Всё неуничтожаемо и полностью децентрализированно. Без серверов телефонных компаний, скайпов и АНБ чисто шифрованные тунели между двумя общающимися людьми и без посредников!

Чаты, телефония и видеозвонки далеко не предел протокола TOX. Потенциально он сможет намного больше...

anonymous
()
Ответ на: комментарий от anonymous

И-и-и я всё это знаю, но это нисколько не отменяет того, что он еще не готов и аудит никто в своем уме сейчас делать не будет.

Да и слишком уж много надежд на этот протокол, он имеет все шансы зачахнуть, так и не дойдя до хоть сколько-нибудь завершенного состояния.

Vigi
()

Бред какой-то. Они еще не поняли, что будут аудиту подвергать? А последующие версии? Над гитом повесят табличку «under control»?

TecH-22
()
Ответ на: комментарий от Klymedy

Доставивший лет десять тому назад всему сообществу баг в телнете про переполнение буфера несколькими IAC'ами подряд пылился на полке много лет. :)

Так что првильно люди делают.

gns ★★★★★
()

очередной маркетинговый ход. нас не нае...

anonymous
()
Ответ на: комментарий от TecH-22

Они еще не поняли, что будут аудиту подвергать?

В процессе.

А последующие версии?

Если их перепишут с нуля, то да, работа насмарку :). А так придется отслеживать лишь изменения.

mandala ★★★★★
() автор топика
Ответ на: комментарий от Klymedy

openssl, openssh, gpg, apache, openvpn

Которые после недавних событий только ленивый не трясет?

Вот много говорят про распыление усилий, а тут наоборот: одну и ту же работу зачем делать, если ты можешь быть полезен в другом месте, где ни кого нет?

mandala ★★★★★
() автор топика
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от anonymous

Тор штука местами полезная, но к «Core Infrastructure» явно не относится.

MrClon ★★★★★
()
Ответ на: комментарий от Klymedy

Не, ну почему, интуиция подсказывает что по крайней мере tcpd и at вполне заслуживают особого внимания.

То что сразу взяли мелкие задачи, очень хорошо. Значит намерены работать практически, а не поражать воображение планами.

Вообще новость очень радует.

Csandriel
()
Ответ на: комментарий от Deleted

Да и ладно. Спиногрызы тоже делают первый шаг, нисколько не соображая и не планируя в деталях, как они собираются ходить. Так что, нет смысла вставать на ноги, пока не расчертишь динамику походки в развалочку?

Csandriel
()
Ответ на: комментарий от anonymous

А кто будет аудитить аудитора?

Думаю как раз этот вопрос и подразумевается под оговоркой

еще не проработан до конца механизм аудита

В борьбе со злом технологии бессильны.

Комплекс бессилия — характерная черта менталитета хомяка. Для него все тлен и все бессильны. В тяжелых случаях, при слишком глубокой озабоченности непреодолимостью мирового зла, самоубийство неизбежно.

Csandriel
()
Ответ на: комментарий от Csandriel

правильно заголовок звучит так:

«Сформирован рейтинг СПО, требующего первоочередного аудита безопасности»

а не так:

«У! У! Мы сделали проект! ПроектБлджад! Ща как зааудитим ааа!11 Токо пока не знаем как и что, но надо! МЫ УЖЕ ИДЕЕЕМ!!11»

unt1tled ★★★★
()
Ответ на: комментарий от unt1tled

правильно заголовок звучит так:

Это ты будешь решать, когда запилишь свою новость. Я считаю написали все правильно. Проект открыли? Открыли. Задачи поставили? Поставили. К решению организационных вопросов приступили? Приступили. Чего же боле?

Зачем тебе так важно унижать значение начинания? Потому что оно не твое? Или потому, что тебе с утра необходимо хоть кого-то поунижать? Кряхтишь не по делу, как та бабка с лавки.

Csandriel
()
Ответ на: комментарий от Csandriel

Так что, нет смысла вставать на ноги, пока не расчертишь динамику походки в развалочку?

«Динамика походки», говоришь... ;-)

У меня несколько иной взгляд на самопиар. Как у тех старорежимных качков, годами ломающих железо в своих подвалах. Но в принципе можно вначале заявить, что ты качок, а потом идти поглощать метан. А с ИБ (в контексте топика) это не прокатит. И пышнозвучащие конференции с тоннами макулатуры и «практикующими юристами» в принципе не обеспечивают ИБ, они ей мешают.

А вообще, стартапов, красиво распиаренных, мы видели много, но до финиша доходили единицы. Поэтому свои стартапы (а их на текущий момент ровно 9) я никогда не пиарю, если говорить обо мне.

А так, да, удачи пацанам.

Deleted
()
Ответ на: комментарий от Deleted

Это твои личные домыслы.

А твой вопрос пришел в голову тебе первому?

А вообще, стартапов, красиво распиаренных, мы видели много, но до финиша доходили единицы.

Может быть потому, что были недостаточно хорошо и убедительно распиарены. Под любое дело ведь нужны спонсорство и прочее содействие.

Csandriel
()
Ответ на: комментарий от Csandriel

Может быть потому, что были недостаточно хорошо и убедительно распиарены.

Возможно. Вообще, в распиаривании проектов масса тонких моментов, целое искусство, я бы даже сказал.

Под любое дело ведь нужны спонсорство и прочее содействие.

Слава богу, пока не под любое дело нужен спонсор. Если иметь в виду такого спонсора, который спонсирует ради своей прибыли.

Выше писал, что у меня 9 стартапов. Так вот, успешных всего три. Если не считать пары «академических», то есть ориентированных на обеспечение процесса добычи и систематизации неких знаний. Ими я занимаюсь не очень активно и, скорее всего, подарю сообществу. Т.к. вряд ли смогу рассчитывать даже на спасибо.

Deleted
()
Ответ на: комментарий от Deleted

в распиаривании проектов масса тонких моментов, целое искусство, я бы даже сказал.
Не быстрому достается успешный бег, не храброму победа, не умномиу богатство, а время и случай для всех них

Csandriel
()
Ответ на: комментарий от Csandriel

...не храброму победа, не умномиу богатство...

Угу, где-то так ;-)

Deleted
()
Ответ на: комментарий от Deleted

Внезапно утрою. Было бы интересно.

Что там может быть интересного при таких спонсорах как ДАРПА и МФВ США. ДЦ АНБ ложился как-то, у тора пропускная рухнула. Что вы там все найти хотите-то ?

handbrake ★★★
()
Ответ на: комментарий от handbrake

Дыры, а не уязвимости архитектуры, которые были заложены при создании.

mandala ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.