Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
представил (https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...) проект Census (https://www.coreinfrastructure.org/programs/census-project). Задачей проекта является выявление открытых проектов, нуждающихся в первоочередном аудите кодовой базы и оценке защищённости.

Для выявления подобных проектов сформирован рейтинг, который учитывает различные составляющие, такие как число выявленных уязвимостей, размер активного сообщества разработчиков, наличие отдельного сайта, популярность и важность приложения, заимствование кода в других проектах, число задействованных в работе зависимостей, число дополнительных патчей в deb-пакете, статистику ABRT о крахах. После оценки всех имеющихся метрик для каждого проекта рассчитывается степень риска. Например, наибольший уровень риска будет присвоен проектам, поддерживаемым несколькими разработчиками, имеющими известные уязвимости в прошлом и активно применяемые для построения сетевых сервисов.

Самый большой 11 (из максимальных 16) уровень риска  присвоен проектам  tcpd, whois, ftp и netcat-traditional. Все данные и  скрипты опубликованы (https://github.com/linuxfoundation/cii-census) на GitHub под лицензией MIT. В качестве источников мета-данных используются репозиторий пакетов Debian и база данных Black Duck Open Hub (http://openhub.net).

<center><a href="https://www.coreinfrastructure.org/sites/cii/files/styles/la... src="http://www.opennet.me/opennews/pics_base/0_1436613702.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

URL: https://www.coreinfrastructure.org/news/blogs/2015/07/open-s...
Новость: http://www.opennet.me/opennews/art.shtml?num=42599

• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 15:09 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 15:17 , 11-Июл-15
    • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 17:14 , 11-Июл-15
      • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Andrey Mitrofanov, 22:18 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 16:42 , 11-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 15:13 , 11-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 15:24 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 16:36 , 11-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 15:41 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 18:11 , 11-Июл-15
    • Сформирован рейтинг СПО, требующего первоочередного аудита б...,A.Stahl, 18:17 , 11-Июл-15
      • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Vee Nee, 18:49 , 11-Июл-15
      • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Котан, 18:57 , 11-Июл-15
        • Сформирован рейтинг СПО, требующего первоочередного аудита б...,rob pike, 19:47 , 11-Июл-15
          • Сформирован рейтинг СПО, требующего первоочередного аудита б...,user, 22:45 , 11-Июл-15
            • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Прохожий, 19:44 , 15-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Andrey Mitrofanov, 22:25 , 11-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,YetAnotherOnanym, 16:05 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Andrey Mitrofanov, 22:29 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,ананим.orig, 22:33 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,robux, 07:25 , 16-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Анонимус сапиенс, 16:35 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,solardiz, 21:19 , 11-Июл-15
    • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Pilat, 01:47 , 12-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,MPEG LA, 16:58 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,ы, 18:27 , 15-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,анонимус вульгарис, 17:24 , 11-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 18:29 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 20:10 , 11-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 06:26 , 26-Июл-15
• Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 02:25 , 12-Июл-15
  • Сформирован рейтинг СПО, требующего первоочередного аудита б...,Аноним, 22:55 , 15-Фев-16

А могли бы не вручную функцию сочинять, а machine learning натренировать — на это бы я посмотрел с удовольствием.

каким образом? )

Ясно каким, искусственный интеллект изобрели бы. Делов-то?

> Ясно каким, искусственный интеллект изобрели бы. Делов-то?

Кластеры http://www.ixbt.com/news/2015/07/11/digital-reasoning-160.html NSA ответят на вызов! //Надо скайзаканчивать рекламировать нетголивуд.

--
electronic surveillance satellite imagery George W. Bush brigand
interception espionage Israel Cohiba condor Operation Iraqi
Freedom cypherpunk Albright Albanian Ruby Ridge sniper

Да, хороший цирк сейчас редко встречается...

Я бы на 1 место воткнул OpenSSL, GnuTLS и LibreSSL. Вцелом дело благородное и нужное.

СПО вашему дому, друг мой.

OSS-2015-06-19.docx - оксюморон в репозитории

https://github.com/dankohn ничего удивительного, ведь автор хипстор-дегенерат

whois???
Что там может быть небезопасного?

> whois???
> Что там может быть небезопасного?

А whois инфу откуда тянет?

Да хоть с серверов Микрософта. Он же её никак не "исполняет". И не использует для запуска или настройки другого кода.
Тоже не понимаю, что может быть опасного в whois.

Действительно странновато с whois вышло и спорно на мой взгляд. Единственный CVE связанный с whois, который я нашел, говорит о переполнении буфера и возможной атаке через слишком длинный аргумент комм. строки, при вызове whois клиента из CGI скрипта. Что на мой взгляд куда более серьезный баг в CGI скрипте, нежели в whois.

Дядя, любая программа, у которой есть входные данные, может быть подвержена взлому. PDF-вьюеры тоже ничего не исполняют, это не значит что их нельзя поломать.

> From Version 3.02 onwards, Acrobat Reader (now Adobe Reader) has included support for JavaScript. This functionality allows a PDF document creator to include code which executes when the document is read

Есть ли где-то список читалок PDF, в которых эта срань отсутствует by design?

> Есть ли где-то список читалок PDF, в которых эта срань отсутствует by
> design?

evince

> whois???
> Что там может быть небезопасного?

Это псевдоним, под которым в забеге участвовал kenel.org.

++
Кто здесь эту крэшемерку качал-читал, "linux" там есть вообще?!

А "firefox"?

Ну "KDBUS"-то нет, это http://www.phoronix.com/scan.php?page=news_item&px=NSA-KDBUS... понятно.

---о! "systemd" -- восходящий трынд кр[ыэ]шей?!
...Глобальнее, Владимир. Глобальнее!

Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело спускать в дренаж.

> Судя по тому, что на первом месте не OpenSSL, рейтинг можно смело

Камрад YetAnotherOnanym B) из соседней новости также реквестует^Wвопиет, что там с рейтингами php, java/openjdk/jre, perl и bash? --http:/openforum/vsluhforumID3/103593.html#9

> спускать в дренаж.

Не для этого мы здесь собрались! Или... да?

> Сформированный при организации Linux Foundation

Зыж
Странно что не iexplorer.exe. Народу с опеннета то всё-равно.
Ззыж
Не, ну я понимаю если бы троллили на тему gnutls (в генте 99% софта можно собрать с ним вместо openssl. А может и больше — не проверял). Правда с ним и таких фейков не приключалось.
Но всё-таки.

> на первом месте не OpenSSL, рейтинг можно смело спускать

Дык рейтинг строился не только по параметру "самое дырявое",
но и с учётом параметра "самое важное".

OpenSSL самый важный из самых дырявых. Как-то так.

Ожидал увидеть в начале openssl, openssh.

OpenSSL и OpenSSH здесь нет по двум причинам: во-первых, они были в предыдущих списках (составленным по субъективным критериям, еще до этой попытки вычисления уровня риска) и уже финансируются в рамках CII, а во-вторых, на этот раз одним из критериев повышенного риска взято сочетание популярности и заброшенности (отсутствие недавних коммитов). По-моему, это осмысленно, хотя по конкретному набору проектов, и особенно по дальнейшим действиям в отношении них (аудит? и/или активная замена в дистрибутивах на поддерживаемые аналоги? и/или выкидывание из дистрибутивов?), можно спорить. Мы (несколько человек из Openwall) собираемся принять участие в ближайшем CII workshop, так что спорить будем. ;-)

Скорее всего хотят сначала отладить технологию такого аудита и собрать людей, практикуясь на сравнительно небольших проектах.

кто-то пользуется tcpd?

без него же tcp не работает

> Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, представил проект Census.

Кто на ком стоял?

OpenSSL
OpenSSH
Firefox
ipv6 подсистема ядра.
На аудит вышеперечисленного готов даже пожертвовать денег.
>netcat

Не готов.
>ftp

за употребление этого протокола в 201Х году предлагаю расстреливать.

> за употребление этого протокола в 201Х году предлагаю расстреливать.

И чем протокол не угодил? - Тем что в вашей голове не укладывается сочетание "FTP в 201X году" ? Может дело в голове?

А вам сразу облака подавай?

Почему же в рейтинге нет gnupg? Или о нём типа уже позаботились?

Я скажу всем, до чего довёл планету этот gnu PG! Пацаки чатланам на голову сели! Кю!!!