Безопасен ли open source?

Безопасен ли open source?

Новый участник

Сообщения: 6
Благодарности: 0

Участники проекта Java Open Review Project провели аудит кода на Java популярных OSS-проектов. Часть кода проверялась автоматически, а особо критичные места (запросы к БД и код динамических пользовательских интерфейсов) вручную.

Так, например, в проекте Hibernate было обнаружено 23 уязвимости, что составляет менее 3 проблем на 1000 строк кода. В Tomcat обнаружено несколько сотен проблем (около 8 на каждую тысячу строк кода). А вот в Hypergate число ошибок превзошло все разумные пределы. Кроме этого, были выявлены и другие проблемы в безопасности организационного характера.

Вывод специалисты сделали следующий. При внедрении свободного ПО на предприятии не стоит полагаться на миф о том, что раз доступны исходники, то их просмотрела масса людей и устранила все ошибки. Нужно самостоятельно проводить аудит безопасности и трезво оценивать риски. Разработчикам свободного ПО рекомендовано больше уделять внимания вопросам безопасности и сделать аудит частью процесса разработки.

Отправлено: 19:51, 22-07-2008

Coutty

Кот Ти

Сообщения: 7318
Благодарности: 1204

Профиль | Отправить PM | Цитировать

Так-то понятно, что и OpenSource и проприетарный софт пишут программисты, а не кто-то другой, поэтому ошибки есть. Мне кажется, что в исходниках мало кто копается. В небольших проектах пара-тройка человек. В крупных (типа ядра линукс) - народу больше. Но там и код на несколько порядков объёмнее.

Другое дело, что полагаться на безопасность через неизвестность не стоит.

Отправлено: 20:03, 22-07-2008 | #2