The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Учреждён фонд OpenSSF, сфокусированный на повышении безопасности открытого ПО"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Учреждён фонд OpenSSF, сфокусированный на повышении безопасности открытого ПО"  +/
Сообщение от opennews (?), 03-Авг-20, 23:47 
Организация Linux Foundation объявила о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО.  OpenSSF продолжит развитие таких инициатив, как  Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53482

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Укуренный (?), 03-Авг-20, 23:47   +3 +/
Уууу, теперь анонимам нельзя будет коммитить libc, а я так хотел туда майнер встроить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #81

2. Сообщение от Minona (ok), 03-Авг-20, 23:48   +9 +/
>создание средств для проверки идентичности разработчиков.

Однако

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Аноним (3), 04-Авг-20, 00:06   +4 +/
В libc и так нельзя было коммитить не только не анонимам, но еще и тем кто не готов отказываться полностью от авторских прав на код в пользу FSF https://www.gnu.org/licenses/why-assign.en.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #12

4. Сообщение от Аноним (4), 04-Авг-20, 00:15   +5 +/
всех под колпак корпораций
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #65

6. Сообщение от asdasd (?), 04-Авг-20, 00:18   +5 +/
Вы говорите не про libc, а про glibc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от Аноним (7), 04-Авг-20, 00:29   +1 +/
Это зачем идентифицировать разработчиков? Типа если heartbleed, то чтобы прийти к нему с паяльником и спросить за всё? Тогда поговорка "пишите код так, как если бы его проверял помешанный маньяк-психопат, знающий ваш адрес" станет ближе к истине
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #13

8. Сообщение от пох. (?), 04-Авг-20, 00:31   +4 +/
да там пол-документа как раз и посвящено вопросу "а вдруг Вася все еще Вася, но уже НЕ работает на rbm?!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от пох. (?), 04-Авг-20, 00:33   +2 +/
Наоборот же - если там нет heartbleed - придти к нему с пакетиком с непонятным порошком и флэшкой с cp, и вежливо попросить добавить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #21

10. Сообщение от Аноним (-), 04-Авг-20, 00:38   +1 +/
>создание средств для проверки идентичности разработчиков.

Анонимус не забывает что стало в разрабом Adamantix.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #64

11. Сообщение от Аноним (11), 04-Авг-20, 01:31   +/
>Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей

Что такое "верификация зависимостей"? Они ведь не формальную верификацию в виду имеют.


>а также идентификация разработчиков

Себя пусть идентифицируют.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

12. Сообщение от anon2 (?), 04-Авг-20, 01:32   +1 +/
Враньё. FSF просит передачу ей только имущественных прав на код. Неимущественные авторские права остаются у автора. Например, право признаваться автором кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

13. Сообщение от Аноним (13), 04-Авг-20, 01:33   +/
https://arstechnica.com/information-technology/2018/11/hacke.../
Вот, например, анонимный помощник постарался
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #16

14. Сообщение от Аноним (7), 04-Авг-20, 02:37   +1 +/
>  Они ведь не формальную верификацию в виду имеют.

Жаль если нет (99% процентов что нет)

Но вообще мысль правильная в том смысле, что зависимости тоже надо шерстить. Да и вообще - всякая зависимость есть угроза, особенно если её разработка ведётся не тобой

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Анонимуз (?), 04-Авг-20, 02:49   +6 +/
Авторство неотчуждаемо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

16. Сообщение от Аноним (16), 04-Авг-20, 03:40   +/
А идентификация спасёт от упущений при ревью?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19

17. Сообщение от б.б. (?), 04-Авг-20, 04:00   +3 +/
25 лет назад учреждён проект OpenBSD, сфокусированный на повышении безопасности открытого ПО

В число учредителей OpenBSD НЕ вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников НЕ присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #29

18. Сообщение от Аноним (7), 04-Авг-20, 04:12   +/
OpenBSD на самом деле появился тупо потому, что де Раадта выгнали из всех других мест. И уж только потом из-за безопасности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от Аноним (13), 04-Авг-20, 06:24   +/
Есть с кого спросить хотя бы. Т нельзя рассуждать как "мы просто не должны совершать ошибок".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #24, #77

20. Сообщение от Аноним (20), 04-Авг-20, 06:36   –6 +/
Только в рамках принятого западного права, и тем где оно распространяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22, #98

21. Сообщение от ss (??), 04-Авг-20, 07:57   +/
Это может произойти и с самим Линусом... Хоть обидентифицируйся, а если нашли чем заинтересовать - то все эти идентификации только на руку злоумышленнику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #48

22. Сообщение от ss (??), 04-Авг-20, 08:01   +8 +/
Причем тут "западного"? С СССР оно тоже было неотчуждаемым. Вы так тролите или просто западнофил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от ss (??), 04-Авг-20, 08:04   +/
Ну спросили и что??
"А он плюнет в глаза и скажет что видит его первый раз в жизни" (с) МВИН
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от Ананоним (?), 04-Авг-20, 08:04   +/
Я не понял, это "пчёлы против мёда" шоле? О как!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от ss (??), 04-Авг-20, 08:05   +1 +/
Как раз безопасность для корпораций -это мед за который все эти пчелы очень ратуют...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28, #33

27. Сообщение от Аноним (27), 04-Авг-20, 08:07   +/
А что случилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #40

28. Сообщение от Аноним (28), 04-Авг-20, 08:10   +/
На этом можно неплохо обогатиться ничего не делая:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #31

29. Сообщение от ss (??), 04-Авг-20, 08:11   +1 +/
Все что надо знать об "безопасности" OpenBSD:

"OpenBSD no longer uses the term "vulnerability" when referring to bugs that lead to a remote denial of service attack, as opposed to bugs that lead to remote control of vulnerable systems to avoid oversimplifying ("pablumfication") the use of the term. "

Главное правильно подобрать интерпретацию термина :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #32

31. Сообщение от ss (??), 04-Авг-20, 08:14   +1 +/
Неплохо обогатиться ничего не делая можно более простыми способами. А они делают и весьма много. Правда порой весьма спорные вещи.

"Мы все делаем для вашего блага" (с) Менеджер гугл

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от б.б. (?), 04-Авг-20, 08:14   +1 +/
а о безопасности OpenSSF что нужно знать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34

33. Сообщение от Ананоним (?), 04-Авг-20, 08:16   –1 +/
И как же они после будут отухлять старые, конкурирующие с новыми-модными-молодёжными, выпуски ПО? А разработчики шо, на улицу захотели? Если будут создавать неуязвимое ПО, их же на мороз выпнут. Во дела...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #35

34. Сообщение от ss (??), 04-Авг-20, 08:16   +2 +/
Что вам теперь некуда бежать :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от ss (??), 04-Авг-20, 08:19   +1 +/
выйдет новый процессор, на котором ваше старое ПО просто не запустится...
найдут случайно затесавшийся баг... (с частотой 1/365 релиза)
возникнет новый хайп...

ой.. вы такие наивности говорите..

"Постоянная работа над ошибками доводит их до совершенства" (с)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от Fracta1L (ok), 04-Авг-20, 08:35   +/
Что планируют делать с сишными дыренями?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

39. Сообщение от Аноним (39), 04-Авг-20, 08:41   +/
Повышать их безопасность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

40. Сообщение от Сейд (ok), 04-Авг-20, 08:42   +/
Попала в тюрьму за вождение без прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #51

42. Сообщение от Аноним (42), 04-Авг-20, 08:58   +/
Чипизация же!
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (81), 04-Авг-20, 09:01   +/
Это все пустое. "Преступность победить нельзя."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

45. Сообщение от ss (??), 04-Авг-20, 09:05   +/
Можно. И генерал Ле Вин это доказал практически.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

46. Сообщение от Аноним (46), 04-Авг-20, 09:08   +/
> В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft

Ясно, очередная диверсия против СПО.

Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от пох. (?), 04-Авг-20, 09:30   +/
> Это может произойти и с самим Линусом...

это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам.

А вот о большинстве остальных, указанных в credits - неизвестно ничего, кроме мэйла и того имени, которым они себя сами назвали. Теперь еще и фотки разворота паспорта, трудами циско и rbm. Остальные данные радостно продаст пейсбук, или их сопрут бесплатно у какого-нибудь твитера.

А там и чем "заинтересовать" найдется (не каждого, но и нужно-то небольшое количество). Вот у товарищмайора, к примеру, паяльник есть интересный - хошь поближе познакомиться?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #62

49. Сообщение от Аноним (81), 04-Авг-20, 09:31   +/
Хм... Только один? У других не вышло?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #55

50. Сообщение от YetAnotherOnanym (ok), 04-Авг-20, 09:41   +/
> JPMorgan Chase

Эти-то чего там забыли?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #96

51. Сообщение от Анорим (?), 04-Авг-20, 09:50   +/
Это где же вождение без "прав" - уголовка? В России - административка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #76

55. Сообщение от ss (??), 04-Авг-20, 10:00   +/
Другие просто не хотели
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #90

57. Сообщение от Аноним (57), 04-Авг-20, 10:07   +/
>создание средств для проверки идентичности разработчиков.

спасибо, не нужно

Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от ss (??), 04-Авг-20, 10:13   +1 +/
Защищают свои интересы естественно :)

Вас же не удивляет что весьма крупный в россии вычислительный кластер построил сбербанк?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #63

62. Сообщение от ss (??), 04-Авг-20, 10:14   +/
>это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам.

Это будет разоблачение века :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

63. Сообщение от Аноним (39), 04-Авг-20, 11:11   +/
Удивляет что не Роснефть или Газпром, но там совсем другие видать интересы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Аноним (64), 04-Авг-20, 11:19   +/
Хотелось бы, чтоб не забывчивый анон напомнил забывчивому - что там случилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

65. Сообщение от Мастеррецензент из компании в колабасасе (?), 04-Авг-20, 11:45   +/
а кто сказал, что в спо можно впатчить чего угодно? "This has been going on for *years*, and doesn't seem to be getting any better." "I'm f*cking tired of the fact that you don't fix problems in thecode *you* write"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

66. Сообщение от Аноним (66), 04-Авг-20, 11:59   +/
Все с анонимностью борятся
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

69. Сообщение от InuYasha (??), 04-Авг-20, 12:26   +/
>>В число учредителей OpenSSF вошли такие компании, как

(0_0) Прямо список корпораций зла! (кстати, спасибо за него)

Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от Аноним (75), 04-Авг-20, 14:28   +/
>Организация Linux Foundation объявила о формировании нового совместного проекта

Началось... когда эти корпорасы что-то там объявляют я начинаюсь тревожится, что-то они там задумали пртив Свободы, GNU и FSF.

Ответить | Правка | Наверх | Cообщить модератору

76. Сообщение от Аноним84701 (ok), 04-Авг-20, 15:32   +1 +/
> Это где же вождение без "прав" - уголовка?

За повторный "DUI" (driving under influence)?
Да много где:

https://www.french-property.com/guides/france/driving-in-fra...
> Driving under influence of drugs/Failing to co-operate with preliminary test    2 years     €4,500    
> Driving without a licence    1 year    €15,000    -    -

https://dejure.org/gesetze/StVG/21.html
> наказываются лишением свободы на срок до одного года или денежным штрафом ...

(причем, без всяких DUI, да еще и для владельца транспорта, допустившего к управлению такое лицо)
-
-
> В России - административка.

https://shtrafy-gibdd.ru/articles/ezda-bez-prav-posle-lishen...
> Штраф ГИБДД за езду пьяным после лишения прав за пьяную езду в 2020 году составляет
> 200 000 - 300 000 р. либо тюрьма до 2 лет
> Статья 264.1 УК РФ
>

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

77. Сообщение от Hdjzh (?), 04-Авг-20, 15:47   +/
Поиск виноватых ничем не лучше. Плюс хакеры, желающие насолить, могут или украсть личность, или сделать фейковую и с неё закоммитить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

78. Сообщение от Аноним (78), 04-Авг-20, 17:44   +1 +/
> Среди угроз, вызванных отсутствием идентификации разработчиков

Вот похерил товарищ майор gnupg: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 а теперь локти кусают.

Проводил исследование использования подписи PGP в открытых проектах:

Очень хороший, образцовый, пример организации проверки аутентичности и целостности кода: https://www.altlinux.org/Работа_с_ключами_разработчика прям гордость за наших! http://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgkey...

Кроме ALT Linux можно отметить отличной оценкой: archlinux.org, archlabslinux.com, debian.org, kali.org, puri.sm, qubes-os.org.

Хорошо стараются: freebsd.org, gentoo.org.

Еще ~40 дистров с первых 100 с distrowatch.org можно отметить как удовлетворительно, хотя бы образ ISO свой подписывают.

Остальные ~50% с первых 100 с distrowatch.org даже свой образ ISO не подписывают!

Ситуация с сорцами вообще плохая:
Исследовано ~ 1500 проектов
Подписано ~ 20%
Подписано двумя или более < 1%
Изменились подписи мейнтейнеров, без крос подписи ~ 20 проектов (люди в глаза друг другу не смотрели, лично не встречались, а проект отдали в другие руки).
Не выложили нигде свой публичный ключ ~ 5 пакетов.
Подписанный сабключом без крос подписи первичного ключа - 1 проект.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82, #83

79. Сообщение от Аноним (81), 04-Авг-20, 17:50   –2 +/
Открытое безопасным быть не может. По определению.
Зачётно сказано!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

80. Сообщение от Аноним (78), 04-Авг-20, 17:51   +3 +/
Ты не знаешь силы математики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #84, #92

81. Сообщение от Аноним (81), 04-Авг-20, 17:52   +/
Это сладкое слово свобода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

82. Сообщение от Аноним (82), 04-Авг-20, 17:57   +/
> Подписанный сабключом без крос подписи первичного ключа - 1 проект.

Так и я могу любой, подписанный кем-то, файл "подписать". Это документирования фича OpenPGP.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

83. Сообщение от Аноним (82), 04-Авг-20, 18:02   +/
> создание средств для проверки идентичности разработчиков.

Верните SKS и pgp как было.

Откатите gnupg до версии 2.2.16 и поставте в ней количество подписей на ключ такое же как на серверах SKS!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

84. Сообщение от Аноним (81), 04-Авг-20, 20:44   –1 +/
О да! Силы маркетинга великая вещь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

89. Сообщение от Аноним (81), 04-Авг-20, 23:17   +/
Читать надо между строк. Главное слово гендерной.
Всяк хочет анонимом остаться. Но ответ держать придётся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

90. Сообщение от Аноним (81), 04-Авг-20, 23:18   +/
Хотели-хотели. Но не шмогли. И теперь ноют, что их шпилят во все дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

92. Сообщение от Аноним (92), 05-Авг-20, 06:38   +/
Во славу Пифагора!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

95. Сообщение от Аноним (95), 05-Авг-20, 15:40   +/
Слегка дурновато пахнущая инициатива
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

96. Сообщение от ZOGmaster (?), 05-Авг-20, 16:59   +/
Не тrогайте наших агентов, меrзкие гои!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

97. Сообщение от Аноним (-), 05-Авг-20, 17:40   +/
Было такое: "I'm not anti-vendor, I've built several of them and currently own one. But I think that vendor-domination of Open Source inevitably dilutes the rights of everyone else. With its increasing participation in Open Source, there's even a chance that Microsoft could be offered an OSI board seat." (B.Perens, 2008)
А потом такое: "The current Data Curators are: Lanx Goh, Eric Lachaud, and Alex Li on behalf of Microsoft" "The current Code Committers are: Benjamin Wong, Jieying Chng, and Alex Li on behalf of Microsoft"
И даже такое: "The data leak was first reports on May 6 by experts at the data breach monitoring Under the Breach, a hacker claimed to have obtained 500 GB of source code from Microsoft’s private GitHub repositories."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

98. Сообщение от Аноним (98), 05-Авг-20, 17:55   +/
Россияне эти законы тоже протолкали, в том же виде, копирасы очень уж лоббировали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

99. Сообщение от Firecat (ok), 05-Авг-20, 18:55   +/
Интересно, они планируют все дистрибутивы проверять на безопасность?
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру