Как стать автором
Обновить

Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее

Время на прочтение 2 мин
Количество просмотров 2.1K
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 2

Комментарии 2

«В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но...»

Но учитывая, что Linux Foundation полностью контроллируется корпоративными донорами из Microsoft, Google и Facebook можно не сомневаться, что данные механизмы позволят улучшить базу данных потенциальных сотрудников для данных компаний и нарушит все возможные и невозможные границы частной жизни участников опенсорс проектов. Вангую аутентификацию перед коммитом через OpenID с обязательной проверкой профилей в соц сетях и автоматическими банами по случайной причине без объяснений в стиле гугла. Нет профиля в ФБ — не стоит тебе доверять такую ответственную вещь, как комит в опенсорсный проект, а то мало ли в какие библиотеки, которые МС вшивает в свои продукты без валидации и code review, ты закинешь свой вирус. А если учесть, что МС уже купила Гитхаб, то и с принудительным внедрением данных инновационных мер безопасности проблем очевидно не возникнет.
Как на счёт того, чтобы обсудить СТАРЫЕ проекты?

Вот был CCured, требующий небольшоно допиливания существующего софта на небезопасном языке Си, после чего получается относительно быстро работающий софт с проверками.

web.eecs.umich.edu/~weimerw/p/p232-condit.pdf

Под него портировали sendmail, ftpd, bind. И где это всё? Куда пошли эти достижения?

Вот есть ACSL, но единственный инструмент, который с ним работает, это верификатор Frama-C, то есть, программа должна быть верифицируема, а это надо с нуля уметь так писать. Нет инструмента, чтоб с тем же синтаксисом добавлять языковые проверки.

После того, как код на Си инкрустирован CCured и аннотациями ACSL, его можно было бы автоматом переводить в более безопасный язык программирования, такой, как Ада. Ну и кто этим занимается.

Как вышел профессор Некула на пенсию, так и заглохло всё с CCured.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий