image

Veiligheidsgarantie voor 11 open source pakketten

woensdag 9 januari 2008, 10:08 door Redactie, 26 reacties

Elf open source pakketten hebben van een bedrijf dat voor de Amerikaanse overheid werkt een veiligheidsgarantie gekregen, maar Linux en Firefox zaten niet bij de winnaars. Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba en TCL zouden volgens Coverity vrij van security defecten zijn. Het bedrijf controleerde meer dan 3,5 miljoen regels code in 265 open source programma's, wat er uiteindelijk voor zorgde dat 7826 beveiligingslekken werden gedicht.

Coverity kent nu drie classificaties, waarbij slechts de 11 eerder genoemde programma's de hoogste classificering haalde. Het middelste niveau kent een aantal bekende open source programma's zoals Linux, FreeBSD, Firefox, KDE, OpenSSL, Subversion en Wireshark. 173 programma's bevinden zich op het laagste niveau.

Gemiddeld hebben open source programma's 1 beveiligingslek per duizend regels code. Door de classificering zouden bedrijven met meer vertrouwen open source applicaties kunnen kiezen, zo laat Coverity weten.

Reacties (26)
09-01-2008, 10:16 door Arno Nimus
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
09-01-2008, 10:32 door Anoniem
Door incompatible
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...

Dat PHP vrij van isues is, betekent niet dat de in PHP geschreven meuk
dat ook is.
09-01-2008, 10:39 door Anoniem
@incompatible

Dat is niet wat er bedoeld wordt.

(1) enkel de *ontdekte* veiligheidslekken zijn blijkbaar
gepatcht. Dit is dus eerder een beloning voor goede
reactiesnelheid (wat natuurlijk ook belangrijk is), niet
noodzakelijk voor goede kwaliteit.

(2) de kwalificatie slaat enkel op de code van het project
zelf. Er wordt m.i. totaal niet nagegaan of bv. PHP zich
gemakkelijk leent tot veilig programmeren (quod non).
09-01-2008, 10:41 door Anoniem
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys
09-01-2008, 10:47 door Anoniem
Dit is allemaal met een automated scan gedaan. Dat hun
produkt geen fouten meer vindt wil niet zeggen dat ze er
niet zijn. Bovendien zul je logica fouten al helemaal niet
geautomatiseerd kunnen ontdekken.
09-01-2008, 10:51 door Anoniem
Door Anoniem
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys
Maar goed dat ze Windows / IE niet kunnen controlleren he ;)
09-01-2008, 11:12 door Anoniem
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys

Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten

De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
09-01-2008, 11:24 door Anoniem
Ik zou eerst even de definities van de verschillende RUNG
levels controleren voor ze van hoog naar laag te
kwalificeren. Die levels hebben betrekking op de medewerking
van de beheerders van de OS projecten. In RUNG 1 staan
verschillende projecten met 0 defects/KLOC.
09-01-2008, 11:27 door SirDice
Het middelste niveau kent een aantal bekende open
source programma's zoals Linux, FreeBSD, Firefox, KDE,
OpenSSL, Subversion en Wireshark.
Programma's als Linux en FreeBSD? Freebsd is een compleet OS
en met Linux wordt hier alleen de kernel bedoelt.
09-01-2008, 11:40 door jeed
Door incompatible
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
Er zit natuurlijk een groot verschil tussen PHP zelf en de
programma's die met PHP gemaakt worden.
09-01-2008, 12:24 door Anoniem
Door Anoniem
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys

Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten

De veiligheid van linux enz. is gewoon een opgeklopt sprookje!


Weer iemand die alleen kan optellen. Lees eens het
oorspronkelijke persbericht. Daarin kun je lezen "Linux came
in with far fewer defects than average as did a number of
other open source projects. The version 2.6 of the Linux
kernel had a security bug rate of .127 per thousand lines of
code. " En dat een gemiddelde van 1 per duizend normaal is
voor commerciele software.
09-01-2008, 13:14 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys

Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten

De veiligheid van linux enz. is gewoon een opgeklopt sprookje!


Weer iemand die alleen kan optellen. Lees eens het
oorspronkelijke persbericht. Daarin kun je lezen "Linux came
in with far fewer defects than average as did a number of
other open source projects. The version 2.6 of the Linux
kernel had a security bug rate of .127 per thousand lines of
code. " En dat een gemiddelde van 1 per duizend normaal is
voor commerciele software.

Linux zit duidelijk barstens vol fouten. Dus wanneer de installed base
voldoende groot is, volgen virii vanzelf. 2008 word het jaar van de unix-
malware.
09-01-2008, 13:22 door SirDice
Door Anoniem
Linux 2.6 + X.org + KDE + Firefox
Geinig.. Zo heb je niet eens een werkend systeem..
09-01-2008, 14:03 door Anoniem
Op zich een goed initiatief, maar ook ik verbaas mij over
een aantal dingen:

PHP, tuurlijk hoeft dat niet te betekenen dat alles wat in
PHP geschreven is automatisch 100% veilig is, maar voglens
mij kent PHP zelf ook wel de nodige problemen. Ik kan even
geen link vinden maar volgens mij was er zelfs een
ontwikkelaar die daarom bij PHP opgestapt was.

Ook wireshark zou ik niet zo hoog verwachten. Hoewel het
risico relatier klein is en de aanval over het algemeen
theoretisch is, worden er regelmatig security fouten
gevonden. Als je wireshark tegenwoordig als root opstart
krijg je om die reden al meteen een bericht dat je risico's
loopt.
09-01-2008, 14:25 door Anoniem
unix malware?? denk niet dat er markt voor is aangezien
malware toch voornamelijk op de thuisgebruiker gericht is


nderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
Geen flauw idee waar je hier mee naar toe wilt , maar
vooruit dan maar weer.
Als je het artikel even doorleest dan snap je heel misschien
wel dat er geen 452 kritieken fouten in de code zitten

Denk als ze bij XP/Vista/IE zo een code audit doen dat je
dan op een veel hoger fouten/per regel uit komt.
09-01-2008, 15:37 door Anoniem
Door SirDice
Door Anoniem
Linux 2.6 + X.org + KDE + Firefox
Geinig.. Zo heb je niet eens een werkend systeem..

Alle extra software welke benodigd is omwille van een werkend systeem,
zal nog meer fouten toe voegen. Dus je linux pc is zo lek als een zeef.
09-01-2008, 16:16 door SirDice
Door Anoniem
Linux zit duidelijk barstens vol fouten. Dus wanneer de installed base voldoende groot is, volgen virii vanzelf. 2008 word het jaar van de unix- malware.
Een bug of een fout in de code wil nog niet zeggen dat het ook daadwerkelijk misbruikt kan worden. En, zoals ik wel vaker gezegd heb, zijn er geen bugs nodig, zie MyDoom, Netsky etc.
09-01-2008, 16:40 door [Account Verwijderd]
[Verwijderd]
09-01-2008, 16:55 door Anoniem
Door Anoniem
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys


ssttttt zeg dat nou niet hard op. je onthuld zo nog het complot dat
microsoft en linux en mozilla met elkaar hebben afgesproken. Zo
komen andere mensen erachter dat die 3 bedrijven bewust fouten
maken om ons allen als slaven van het grote neme neme monster te
koppelen ;)
09-01-2008, 17:24 door Anoniem
Gelukkig is dit onderzoek op verzoek van de fabrikanten en
bedoeld om de software veilig te maken.

ik hoop dan ook dat volgend jaar meer van deze Opensource
pakketten in rang 2 (kwalificatie veilig) zullen vallen.

Daar kan Microsoft nog wat van leren. Die draait het om, die
denkt eerst dat zijn software veilig is en gaat daarna pas
onderzoeken of dit ook klopt.
09-01-2008, 20:07 door Anoniem
cross/binutils
Unified GNU binutils for cross build environments

849,944

hoho, dat zijn wel erg veel fouten per 1000 voor een pakket
dat de meesten hebben staan
09-01-2008, 21:02 door Anoniem
Door Anoniem
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.

laat dit een les zijn voor onze linux en firefox fanboys

Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten

De veiligheid van linux enz. is gewoon een opgeklopt sprookje!

Jazeker. Reken je even mee?
Windows XP heeft 50 miljoen regels code... 1 fout per 1000
regels, 50 miljoen delen door 1000 => 50 duizend defects. ;-)

Zullen we het nu over Vista hebben?
09-01-2008, 21:28 door Anoniem
2008 word het jaar van de unix- malware.
Wedje leggen van niet voor een jaarsalaris.
Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
10-01-2008, 10:46 door Jozo
<offtopic>omg, wat een trollen hier weer</offtopic>

Ontopic: Wel goed nieuws, buiten het bekende feit dat
opensource software zeer veilig kan zijn is dit natuurlijk
altijd een opsteker.
10-01-2008, 10:59 door SirDice
Door Anoniem
2008 word het jaar van de unix- malware.
Wedje leggen van niet voor een jaarsalaris.
Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
En waar baseer je dat op?
Ook BSD is gevoelig voor domme acties van gebruikers.
11-01-2008, 14:20 door Anoniem
Door SirDice
Door Anoniem
2008 word het jaar van de unix- malware.
Wedje leggen van niet voor een jaarsalaris.
Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
En waar baseer je dat op?
Ook BSD is gevoelig voor domme acties van gebruikers.
Ja natuurlijk maar dat is maar net wie je erachter zit. Bij een helpdesk ofzo
zul je vaker windows problemen tegenkomen dan dan linux. (Nee niet door
het percentage waar windows in de winnende hand is)

Nielsk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.