Кокс: Не стоит так доверять безопасности Open Source
Алан Кокс (Alan Cox), сотрудник Red Hat и одна из уважаемых фигур в сообществе Open Source Великобритании, предупредил, что не следует слишком доверять утверждениям о безопасности программного обеспечения с открытым исходным кодом.
Выступив в среду на конференции LinuxWorld в Лондоне, он подчеркнул, что на анализ и попытки взлома систем open source расходуются значительные средства. И предупредил, что многие проекты open source далеки от совершенства в области безопасности.
«В защиту вкладывается много денег, но ситуация ухудшилась, так как много денег вкладывается и в нарушение защиты. Людям платят за то, чтобы они взламывали системы. Из сообщений в прессе можно сделать вывод, что программное обеспечение open source якобы безопаснее, надежнее, и в нем меньше багов. Это очень опасное убеждение.
Аналитики смотрят только на самые известные проекты. Если взять 150 проектов с SourceForge, вы не получите тех же результатов, что и по ядру Linux. Не надо придавать большое значение словам Microsoft, которая говорит: „Смотрите, какой безопасный у нас код“, и Linux, которая отвечает: „Нет, у нас безопаснее“. Высокое качество достигается только в некоторых проектах — тех, где код хорошо проверяется и где работают хорошие программисты».
Кокс прокомментировал и новый проект Quality Observatory for Open Source Software (SQO-OSS), призванный проверить качество кода Open Source. Он сказал, что такие измерения не должны быть самоцелью. «Система показателей — это хорошо, и у SQO-OSS большой потенциал. Но с подобной методологией связаны проблемы и риски. Если вы работаете на показатели, то из 14 багов, которые у вас есть, вы исправите 13 простых, а один трудный отложите на потом. Так и происходит в мире безопасности, но это неэффективно».
Постоянная ссылка к новости: http://www.nixp.ru/news/7868.html. Дмитрий Шурупов по материалам zdnet.ru.
Вышла документалка про Apache Software Foundation — она уже есть на YouTube
1
Cloud Native Computing Foundation возглавила Приянка Шарма — теперь судьба Kubernetes и других облачных проектов в ее руках
2 1
GitLab переходит на DCO вместо соглашения CLA для своих Open Source-контрибьюторов
Loghouse — Open Source-решение компании «Флант» для работы с логами контейнеров в Kubernetes 1
В CNCF приняты Open Source-проекты Notary от Docker и TUF, а также 30 новых компаний-участников
Анонсирована официальная поддержка Kubernetes в Docker и Moby 1
Последние комментарии
-
fhunter, 29 ноября в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
-
DimitriuS, 6 сентября в 10:37 → Перекличка 14
-
Иванн, 9 апреля в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
-
fhunter, 26 февраля 2021 года в 20:45 → A, MX, PTR — Настройка и проверка извне. Как ? 2
