Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал (http://www.linuxfoundation.org/news-media/announcements/2016... инициативу Best Practices Badge Program (https://bestpractices.coreinfrastructure.org/) для стимулирования повышения безопасности свободных проектов.

В рамках инициативы сформирован набор критериев, составленных с учётом опыта наиболее серьёзно относящихся к безопасности сообществ. Список включает 74 критерия (https://github.com/linuxfoundation/cii-best-practices-badge/... разделённых по степени важности (обязательные, желательные и рекомендуемые). Выполнение критериев позволяет судить о серьёзном отношении проектов к безопасности, обеспечению качества и поддержанию стабильности кодовой базы.

На базе данных критериев запущена программа сертификации соответствия проектов требованиям качества, безопасности и стабильности. Прошедшие сертификацию проекты получают право размещения на сайте специального знака качества, сигнализирующего о серьёзном отношении разработчиков к безопасности. В настоящее время заявки на проведение проверки сформированы для 114 проектов (https://bestpractices.coreinfrastructure.org/projects). Успешно прошли проверку 8 проектов, среди которых Curl, GitLab, ядро Linux, OpenBlox, OpenSSL, Node.js и Zephyr. Три проекта признаны не соответствующими критериям (pkgsrc (https://bestpractices.coreinfrastructure.org/projects/112) - нестандартная лицензия, container-tools (https://bestpractices.coreinfrastructure.org/projects/114) - сайт без HTTPS, byobu (https://bestpractices.coreinfrastructure.org/projects/41) - сайт без HTTPS c TLS). Остальные проекты находятся на стадии проверки.

Ключевые требования (https://github.com/linuxfoundation/cii-best-practices-badge/... к проектам:

-  Доступный по постоянному адресу web-сайт, на котором описано назначение проекта, ссылки для загрузки, имеется возможность отправки отзыва разработчикам и доступна инструкция по подключению к разработке/отправке изменений;
-  Использование типовой свободной лицензии и размещение информации о лицензии в файлах LICENSE или COPYING;
-  Поддержка HTTPS на сайте;
-  Наличие документации, описывающей установку и запуск, а также наличие спецификации для API;-  Доступность кода через распределённые системы контроля версий и возможность оценки изменений между релизами. -  Присвоение каждому выпуску уникального номера версии в формате семантического версионирования. -  Наличие списка изменений, в котором явно выделены исправленные уязвимости.
-  Предоставление средства для отправки разработчикам сообщений об ошибках и отслеживания их исправления. Доступ к архиву сообщений о проблемах. Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения, без игнорирования.-  Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;
-  Возможность сборки с использованием штатных открытых инструментов. Возможность включения сборки в режиме вывода предупреждений компилятором и компоновщиком. Возможность запуска статических анализаторов кода;
-  Наличие автоматизированного тестового набора, покрывающего большую часть функциональности проекта. Добавление новых тестов для нового кода;
-  Автоматизированный запуск тестов для всех изменений и применение динамических проверок с использованием анализаторов пдодобных Valgrind, систем fuzzing-тестирования и сканеров безопасности;
-  Знание разработчиками методов безопасного программирования и типовых ошибок, приводящих к уязвимостям;-  В случае наличия поддержки шифрования применение публичных протоколов и алгоритмов, задействование уже готовых проверенных и открытых реализаций, использование ключей надлежащей длины, отказ от поддержки проблемных и уязвимых алгоритмов, использование алгоритмов с Forward secrecy (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy), хранение любых паролей в форме хэшей с солью, применение надёжных генераторов случайных чисел.

URL: http://www.linuxfoundation.org/news-media/announcements/2016...
Новость: http://www.opennet.me/opennews/art.shtml?num=44378

• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 11:45 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,IMHO, 11:48 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Анончег, 22:12 , 06-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 12:12 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Модификатор, 16:17 , 05-Май-16
    • Linux Foundation вводит систему оценки качества, безопасност...,Модификатор, 16:19 , 05-Май-16
      • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 22:48 , 05-Май-16
      • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 00:26 , 06-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 12:13 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Andrey Mitrofanov, 13:07 , 05-Май-16
    • Linux Foundation вводит систему оценки качества, безопасност...,Анончег, 22:15 , 06-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 12:39 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Нанобот, 13:43 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Led, 21:17 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 22:55 , 05-Май-16
    • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 11:28 , 06-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 13:26 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,cmp, 13:45 , 05-Май-16
    • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 00:28 , 06-Май-16
      • Linux Foundation вводит систему оценки качества, безопасност...,cmp, 01:31 , 06-Май-16
        • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 20:48 , 06-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Вареник, 16:13 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Andrey Mitrofanov, 16:32 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,бедный буратино, 05:14 , 06-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Вареник, 16:16 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Модификатор, 16:19 , 05-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 17:51 , 05-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 18:16 , 05-Май-16
• Linux Foundation вводит систему оценки качества, безопасност...,bOOster, 18:30 , 05-Май-16
  • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 19:42 , 05-Май-16
    • Linux Foundation вводит систему оценки качества, безопасност...,Аноним, 21:01 , 06-Май-16

Скажите, как эту сертификацию могли пройти ядро, официально не отделяющее уязвимости от обычных ошибок, и Node.js не выделяющий уязвимости в V8?
В свете этого: "The release notes MUST identify every publicly known vulnerability that is fixed in each new release". У GitLab тоже не всё гладко.

Если покликать на результатах становится ясно, что прошедшие тест проверялись формально только по десятку самых простых признаков типа HTTPS на сайте и нормальная лицензия.  42 критерия со статусом MUST никто не анализировал.

Тихо LF не хочет ссорится с теми кто их спонсирует

Тень сам знаешь кого не очень-то одобряет такие разговорчики, товарищ... пока ещё товарищ.

"Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал"

Кто на ком стоял? ©

> "Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative,
> в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения
> поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
> анонсировал"
> Кто на ком стоял? ©

Да там перлы щедро насыпаны:

"Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения"

Родительный падеж:  Кого, чего?
Чего запросов? Где остальной кусок смысла?
Если "Реакция на", то "Реакция на запросЫ", а не "запросов".

Кто на ком стоял? ©

"Великая могучая русскава языка" (С)

ЕГЭ улучшение было есть реформа образование!

> "Великая могучая русскава языка" (С)

Ниправильна!

В худой котомк поклав ржаное хлебо,
Я ухожу туда, где птичья звон,
Я вижу над собою синий небо,
Косматый облак и высокий крон.
Я дома здесь. Я здесь пришел не в гости.
Снимаю кепк, одетый набекрень.
Веселый птичк, помахивая хвостик,
Высвистывает мой стихотворень.
Зеленый травк ложится под ногами,
И сам к бумаге тянется рука,
И я шепчу дрожащие губами:
«Велик могучим русский языка!»

> Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;

Шо.. неужели ?

>>должна быть устранена не более чем за 60 дней;
> Шо.. неужели ?

Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это наклеечку!

> Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это
> наклеечку!

"Поверед бу фаундэйшын" - точно, Митрофаныч, тут ты прав.

возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками, можно поднять бобла на сертификации и аттестации, как у настоящих бизнесменов

да ладно. наличие метрик лучше отсутствия метрик.

> возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками

А что делать: специалистов днём-с-огнём не сыщешь, а всяких оценщиков и прочих пэхапе-гвидобейско-г-кодеров - как собак не резаных. Надо же их чем-то занять?

вот и альтернативно-одаренные подтянулись! дефективный менеджер, не иначе
в чем предлагается измерять качество, безопасность и стабильность?
нам же метрология не нужна, так?

Ценой лицензий/поддержки?

Надо было приписать, чтобы в HTTPS использовалась правильная SSL либа, а не левый OpenSSL...

чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не соответсвуют.

> чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не
> соответсвуют.

Видимо, решили не участвовать в этой клоунаде. Более чем уверен, например, что LibreSSL точно не захочет. А то вот прямо уже прямо вижу Боба Бека, рвущегося получить ярлычок от Linux Foundation, что он чему-то там соответствует...

Да ну конечно, боб бек наше все куда уж до него смертным.

А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и будете дальше вариться, пока не помрете, что никто даже не заметит. Право ваше.

> Да ну конечно, боб бек наше все куда уж до него смертным.  
> А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у
> вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь
> отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и
> будете дальше вариться, пока не помрете, что никто даже не заметит.
> Право ваше.

Вы забыли добавить собственно про домкрат.[1]

К чему ваш комментарий — вообще не понятно. Я написал, зная (немного) характер Боба. Который (вам не интересно, я помню, поэтому не читайте... не читайте, говорю!) является одним из создателей LibreSSL и одним из корневых разработчиков OpenBSD, ответственным, в том числе, за часть инфраструктуры проекта. Но вам, видимо, достаточно что-то где-то слышать только про Тео, а остальные недостойны упоминания в анналах истории.

Спасибо за ваш звонок, мы обязательно учтём ваше мнение в следующей жизни.

----

[1] http://www.razlib.ru/psihologija/70_osnovnyh_psihologicheski...

Резюме последних инициатив GNU:

"Не хочу писать код. Хочу рукой водить, каждую неделю устраивать конкурсы и быть в них жюри. Хочу оценивать сайты по степени продвижения ими моего фонда. Хочу судить проекты, независимо от того что они не с моей лицензией. СПО - это Я".

> Резюме последних инициатив GNU:

Вы темой ошиблись. Здесь про хороводы за мзду с капрофагами.
   Вы спутали GNU и FSF.
      Вы не в курсе более ранних инициатив FSF, почему? 30+ лет истории ждут.

причём здесь GNU?

Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)

> Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться
> OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)

Вот только вслух не надо.
Они же читают!

Ожидаем сертифицированные уязвимости

Ни gcc, ни emacs в списке нет. Не говоря уж о всяких cp, mv и прочих rm...

Капец, а GNUшники читать то умеют? Судя по поддержке POSIX наврядли….

Это не гнушники, это совершенно левые жлобы, ничего полезного не сделавшие для опенсорца. Посмотри на их членов.

> Посмотри на их членов

Уверен, что там ни один не стоит.