Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал (http://www.linuxfoundation.org/news-media/announcements/2016... инициативу Best Practices Badge Program (https://bestpractices.coreinfrastructure.org/) для стимулирования повышения безопасности свободных проектов.
В рамках инициативы сформирован набор критериев, составленных с учётом опыта наиболее серьёзно относящихся к безопасности сообществ. Список включает 74 критерия (https://github.com/linuxfoundation/cii-best-practices-badge/... разделённых по степени важности (обязательные, желательные и рекомендуемые). Выполнение критериев позволяет судить о серьёзном отношении проектов к безопасности, обеспечению качества и поддержанию стабильности кодовой базы.
На базе данных критериев запущена программа сертификации соответствия проектов требованиям качества, безопасности и стабильности. Прошедшие сертификацию проекты получают право размещения на сайте специального знака качества, сигнализирующего о серьёзном отношении разработчиков к безопасности. В настоящее время заявки на проведение проверки сформированы для 114 проектов (https://bestpractices.coreinfrastructure.org/projects). Успешно прошли проверку 8 проектов, среди которых Curl, GitLab, ядро Linux, OpenBlox, OpenSSL, Node.js и Zephyr. Три проекта признаны не соответствующими критериям (pkgsrc (https://bestpractices.coreinfrastructure.org/projects/112) - нестандартная лицензия, container-tools (https://bestpractices.coreinfrastructure.org/projects/114) - сайт без HTTPS, byobu (https://bestpractices.coreinfrastructure.org/projects/41) - сайт без HTTPS c TLS). Остальные проекты находятся на стадии проверки.Ключевые требования (https://github.com/linuxfoundation/cii-best-practices-badge/... к проектам:
- Доступный по постоянному адресу web-сайт, на котором описано назначение проекта, ссылки для загрузки, имеется возможность отправки отзыва разработчикам и доступна инструкция по подключению к разработке/отправке изменений;
- Использование типовой свободной лицензии и размещение информации о лицензии в файлах LICENSE или COPYING;
- Поддержка HTTPS на сайте;
- Наличие документации, описывающей установку и запуск, а также наличие спецификации для API;- Доступность кода через распределённые системы контроля версий и возможность оценки изменений между релизами. - Присвоение каждому выпуску уникального номера версии в формате семантического версионирования. - Наличие списка изменений, в котором явно выделены исправленные уязвимости.
- Предоставление средства для отправки разработчикам сообщений об ошибках и отслеживания их исправления. Доступ к архиву сообщений о проблемах. Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения, без игнорирования.- Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;
- Возможность сборки с использованием штатных открытых инструментов. Возможность включения сборки в режиме вывода предупреждений компилятором и компоновщиком. Возможность запуска статических анализаторов кода;
- Наличие автоматизированного тестового набора, покрывающего большую часть функциональности проекта. Добавление новых тестов для нового кода;
- Автоматизированный запуск тестов для всех изменений и применение динамических проверок с использованием анализаторов пдодобных Valgrind, систем fuzzing-тестирования и сканеров безопасности;
- Знание разработчиками методов безопасного программирования и типовых ошибок, приводящих к уязвимостям;- В случае наличия поддержки шифрования применение публичных протоколов и алгоритмов, задействование уже готовых проверенных и открытых реализаций, использование ключей надлежащей длины, отказ от поддержки проблемных и уязвимых алгоритмов, использование алгоритмов с Forward secrecy (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy), хранение любых паролей в форме хэшей с солью, применение надёжных генераторов случайных чисел.URL: http://www.linuxfoundation.org/news-media/announcements/2016...
Новость: http://www.opennet.me/opennews/art.shtml?num=44378
Скажите, как эту сертификацию могли пройти ядро, официально не отделяющее уязвимости от обычных ошибок, и Node.js не выделяющий уязвимости в V8?
В свете этого: "The release notes MUST identify every publicly known vulnerability that is fixed in each new release". У GitLab тоже не всё гладко.Если покликать на результатах становится ясно, что прошедшие тест проверялись формально только по десятку самых простых признаков типа HTTPS на сайте и нормальная лицензия. 42 критерия со статусом MUST никто не анализировал.
Тихо LF не хочет ссорится с теми кто их спонсирует
Тень сам знаешь кого не очень-то одобряет такие разговорчики, товарищ... пока ещё товарищ.
"Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал"
Кто на ком стоял? ©
> "Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative,
> в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения
> поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
> анонсировал"
> Кто на ком стоял? ©Да там перлы щедро насыпаны:
"Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения"
Родительный падеж: Кого, чего?
Чего запросов? Где остальной кусок смысла?
Если "Реакция на", то "Реакция на запросЫ", а не "запросов".Кто на ком стоял? ©
"Великая могучая русскава языка" (С)
ЕГЭ улучшение было есть реформа образование!
> "Великая могучая русскава языка" (С)Ниправильна!
В худой котомк поклав ржаное хлебо,
Я ухожу туда, где птичья звон,
Я вижу над собою синий небо,
Косматый облак и высокий крон.
Я дома здесь. Я здесь пришел не в гости.
Снимаю кепк, одетый набекрень.
Веселый птичк, помахивая хвостик,
Высвистывает мой стихотворень.
Зеленый травк ложится под ногами,
И сам к бумаге тянется рука,
И я шепчу дрожащие губами:
«Велик могучим русский языка!»
> Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;Шо.. неужели ?
>>должна быть устранена не более чем за 60 дней;
> Шо.. неужели ?Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это наклеечку!
> Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это
> наклеечку!"Поверед бу фаундэйшын" - точно, Митрофаныч, тут ты прав.
возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками, можно поднять бобла на сертификации и аттестации, как у настоящих бизнесменов
да ладно. наличие метрик лучше отсутствия метрик.
> возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценкамиА что делать: специалистов днём-с-огнём не сыщешь, а всяких оценщиков и прочих пэхапе-гвидобейско-г-кодеров - как собак не резаных. Надо же их чем-то занять?
вот и альтернативно-одаренные подтянулись! дефективный менеджер, не иначе
в чем предлагается измерять качество, безопасность и стабильность?
нам же метрология не нужна, так?
Ценой лицензий/поддержки?
Надо было приписать, чтобы в HTTPS использовалась правильная SSL либа, а не левый OpenSSL...
чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не соответсвуют.
> чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не
> соответсвуют.Видимо, решили не участвовать в этой клоунаде. Более чем уверен, например, что LibreSSL точно не захочет. А то вот прямо уже прямо вижу Боба Бека, рвущегося получить ярлычок от Linux Foundation, что он чему-то там соответствует...
Да ну конечно, боб бек наше все куда уж до него смертным.А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и будете дальше вариться, пока не помрете, что никто даже не заметит. Право ваше.
> Да ну конечно, боб бек наше все куда уж до него смертным.
> А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у
> вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь
> отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и
> будете дальше вариться, пока не помрете, что никто даже не заметит.
> Право ваше.Вы забыли добавить собственно про домкрат.[1]
К чему ваш комментарий — вообще не понятно. Я написал, зная (немного) характер Боба. Который (вам не интересно, я помню, поэтому не читайте... не читайте, говорю!) является одним из создателей LibreSSL и одним из корневых разработчиков OpenBSD, ответственным, в том числе, за часть инфраструктуры проекта. Но вам, видимо, достаточно что-то где-то слышать только про Тео, а остальные недостойны упоминания в анналах истории.
Спасибо за ваш звонок, мы обязательно учтём ваше мнение в следующей жизни.
----
[1] http://www.razlib.ru/psihologija/70_osnovnyh_psihologicheski...
Резюме последних инициатив GNU:"Не хочу писать код. Хочу рукой водить, каждую неделю устраивать конкурсы и быть в них жюри. Хочу оценивать сайты по степени продвижения ими моего фонда. Хочу судить проекты, независимо от того что они не с моей лицензией. СПО - это Я".
> Резюме последних инициатив GNU:Вы темой ошиблись. Здесь про хороводы за мзду с капрофагами.
Вы спутали GNU и FSF.
Вы не в курсе более ранних инициатив FSF, почему? 30+ лет истории ждут.
причём здесь GNU?
Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)
> Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться
> OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)Вот только вслух не надо.
Они же читают!
Ожидаем сертифицированные уязвимости
Ни gcc, ни emacs в списке нет. Не говоря уж о всяких cp, mv и прочих rm...
Капец, а GNUшники читать то умеют? Судя по поддержке POSIX наврядли….
Это не гнушники, это совершенно левые жлобы, ничего полезного не сделавшие для опенсорца. Посмотри на их членов.
> Посмотри на их членовУверен, что там ни один не стоит.