Запущен проект oCERT, для оказания помощи в устранении уязвимостей

05.04.2008 22:43

Несколько известных экспертов, практикующихся в сфере компьютерной безопасности, объявили о создании проекта oCERT (Open Source Computer Emergency Response Team), в рамках которого создана группа быстрого реагирования для оказания поддержки открытым проектам, пострадавшим от инцидентов связанных с нарушением безопасности, и помощи в устранении обнаруженных уязвимостей.

Сервис может быть полезен, как малым проектам, поддерживаемым несколькими энтузиастами, так и большим - таким как крупные Linux дистрибутивы. При этом главной задачей задачей является организация оперативной связи между двумя группами, исключающей ситуации, когда серьёзная проблема безопасности в небольшом проекте оказывается неисправленной в дистрибутивах в течение долгого времени или наоборот, когда в дистрибутиве самостоятельно исправляют проблему, а создатели программы узнают об уязвимости в последнюю очередь. Кроме того, у небольших проектов появится возможность получить консультацию и проверить код на наличие потенциально опасных участков, oCERT также возьмет на себя работу по подготовке и распространению уведомлений об обнаружении новых уязвимостей.

В настоящее время в состав команды oCERT входят эксперты:

Andrea Barisani, основатель и координатор консалтинговой фирмы Inverse Path, один из разработчиков Gentoo специализирующийся на безопасности и развитии инфраструктуры;
Tavis Ormandy и Will Drewry, эксперты Google в области компьютерной безопасности;
Rob Holland, автор многочисленных сообщений о наличии уязвимостей;
Marcel Holtmann, работает в Intel, создатель проекта BlueZ, разработчик Bluetooth стека для Linux ядра.

В консультативный совет вошли:

Alexander Peslyak (Solar Designer), создатель проекта Openwall, автор John the Ripper, popa3d и набора OW патчей к Linux ядру;
Dragos Ruiu, организатор конференции SecWest.

К инициативе уже присоединились следующие проекты:

В заключение можно отметить интересный факт, объем базы данных уязвимостей CVE преодолел рубеж в 30 тысяч. записей, иными словами с 1999 года было обнаружено 30 тысяч уязвимостей.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/15136-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, pavlinux (ok), 01:50, 06/04/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хе.... Вот если бы, они "Запустили проект, для оказания помощи в ПОИСКЕ уязвимостей". :)

2.6, ЩекнИтрч (?), 12:38, 06/04/2008 [^] [^^] [^^^] [ответить]	+/–
зеродей - продается только за деньги, хрюшка :) а "поискать" бесплатный зеродей ты можешь у бабушки своей в трусах :)

1.2, pavlinux (ok), 01:56, 06/04/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И вообще, на похоронное бюро смахивает - на чужих ошибках, неудачах, себе медали зарабатывать будут. 101% - будут орать как они быстро решают проблемы... Кто там спонсоры... Щас глянем...

2.3, pavlinux (ok), 02:02, 06/04/2008 [^] [^^] [^^^] [ответить]

+/–

А... ну ясно...

Googlя - ещё один претендент на мировое господство, везде свой х..й пристроит...
ODSL - ну эти вообще, самые платные из бесплатных, там Sun Intel IBM стоит...

Inverse Path Ltd, чё продают... ща глянем...

    *  Infrastructure
    * LDAP Integration
    * Security
    * Open Source
    * Gentoo® Linux Support
    * Unix Migration
    * Research and Development
    * Training

Ясненько.... Галимые Янкообразные БАРЫГИ.

И НИКОГДА НИЧЕГО СЕРЬЕЗНОГО БЕСПЛАТНО НЕ СДЕЛАЮТ!!!

3.4, anonymous (??), 07:33, 06/04/2008 [^] [^^] [^^^] [ответить]	+/–
so oblivius... Унылый тролль детектед

3.7, ЩекнИтрч (?), 12:39, 06/04/2008 [^] [^^] [^^^] [ответить]	+/–
Вафлинукс! Вы заебало своими репортажами о розыске бесплатного! :)

3.8, pavlinux (ok), 15:26, 06/04/2008 [^] [^^] [^^^] [ответить]	+/–
Уважаемые anonymous, ЩекнИтрч, мы тут не меня обсуждаем, а тему... Не нравится, - обоснуйте и предложите своё виденье.

4.12, kvazimordo (?), 08:31, 19/04/2008 [^] [^^] [^^^] [ответить]	+/–
Уважаемый pavlinux, просто ваши идиотические выкрики немного нервируют. Кто там "продался", а кто нет, имеет ли это очень большой смысл для существования нашей солнечной системы? Эксперты между прочим действительно известные, один только Solar чего стоит, ну а проекты которые присоединились должны быть вам знакомы наверняка. Так что, вы уж извините меня, но не надо лишний раз брызгать слюной, ни к чему это, пустое.

3.10, PereresusNeVlezaetBuggy (ok), 16:10, 06/04/2008 [^] [^^] [^^^] [ответить]	+/–
Зависть к богатым до добра не доводит. Серьёзно говорю, при всём уважении к знаниям. А инициатива благая и нужная, недавняя история с релизами OpenSSH тому подтверждение (и, видимо, одна из причин).

1.5, Bocha (??), 11:50, 06/04/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Назвать систему поиска дырок "О, Чёрт!" - это очень правильно :-)

2.9, pavlinux (ok), 15:28, 06/04/2008 [^] [^^] [^^^] [ответить]	+/–
Не поиска, а пока исправления... Поиска, это к примеру Coverity, и это удовольствие стоит оху...ых денег.

3.11, Rjhdby (?), 10:17, 07/04/2008 [^] [^^] [^^^] [ответить]	+/–
/Кроме того, у небольших проектов появится возможность получить консультацию и проверить код на наличие потенциально опасных участков,/ воть

Добавить комментарий

Текст: