Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Учреждён фонд OpenSSF, сфокусированный на повышении безопасности открытого ПО"	+/–
Сообщение от opennews (?), 03-Авг-20, 23:47
Организация Linux Foundation объявила о формировании нового совместного проекта OpenSSF (Open Source Security Foundation), призванного объединить работу ведущих представителей индустрии в области повышения безопасности открытого ПО.  OpenSSF продолжит развитие таких инициатив, как  Infrastructure Initiative и Open Source Security Coalition, а также объединит и другие связанные с безопасностью работы, предпринимаемые участниками проекта... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53482
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Укуренный (?), 03-Авг-20, 23:47	+3 +/–
Уууу, теперь анонимам нельзя будет коммитить libc, а я так хотел туда майнер встроить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #81

2. Сообщение от Minona (ok), 03-Авг-20, 23:48	+9 +/–
>создание средств для проверки идентичности разработчиков. Однако
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Аноним (3), 04-Авг-20, 00:06	+4 +/–
В libc и так нельзя было коммитить не только не анонимам, но еще и тем кто не готов отказываться полностью от авторских прав на код в пользу FSF https://www.gnu.org/licenses/why-assign.en.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #12

4. Сообщение от Аноним (4), 04-Авг-20, 00:15	+5 +/–
всех под колпак корпораций
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #65

6. Сообщение от asdasd (?), 04-Авг-20, 00:18	+5 +/–
Вы говорите не про libc, а про glibc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от Аноним (7), 04-Авг-20, 00:29	+1 +/–
Это зачем идентифицировать разработчиков? Типа если heartbleed, то чтобы прийти к нему с паяльником и спросить за всё? Тогда поговорка "пишите код так, как если бы его проверял помешанный маньяк-психопат, знающий ваш адрес" станет ближе к истине
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #13

8. Сообщение от пох. (?), 04-Авг-20, 00:31	+4 +/–
да там пол-документа как раз и посвящено вопросу "а вдруг Вася все еще Вася, но уже НЕ работает на rbm?!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от пох. (?), 04-Авг-20, 00:33	+2 +/–
Наоборот же - если там нет heartbleed - придти к нему с пакетиком с непонятным порошком и флэшкой с cp, и вежливо попросить добавить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #21

10. Сообщение от Аноним (-), 04-Авг-20, 00:38	+1 +/–
>создание средств для проверки идентичности разработчиков. Анонимус не забывает что стало в разрабом Adamantix.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #64

11. Сообщение от Аноним (11), 04-Авг-20, 01:31	+/–
>Поэтому для подтверждения безопасности открытых проектов важна верификация не только основного кода, но и зависимостей Что такое "верификация зависимостей"? Они ведь не формальную верификацию в виду имеют. >а также идентификация разработчиков Себя пусть идентифицируют.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

12. Сообщение от anon2 (?), 04-Авг-20, 01:32	+1 +/–
Враньё. FSF просит передачу ей только имущественных прав на код. Неимущественные авторские права остаются у автора. Например, право признаваться автором кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

13. Сообщение от Аноним (13), 04-Авг-20, 01:33	+/–
https://arstechnica.com/information-technology/2018/11/hacke.../ Вот, например, анонимный помощник постарался
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #16

14. Сообщение от Аноним (7), 04-Авг-20, 02:37	+1 +/–
>  Они ведь не формальную верификацию в виду имеют. Жаль если нет (99% процентов что нет) Но вообще мысль правильная в том смысле, что зависимости тоже надо шерстить. Да и вообще - всякая зависимость есть угроза, особенно если её разработка ведётся не тобой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Анонимуз (?), 04-Авг-20, 02:49	+6 +/–
Авторство неотчуждаемо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

16. Сообщение от Аноним (16), 04-Авг-20, 03:40	+/–
А идентификация спасёт от упущений при ревью?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19

17. Сообщение от б.б. (?), 04-Авг-20, 04:00	+3 +/–
25 лет назад учреждён проект OpenBSD, сфокусированный на повышении безопасности открытого ПО В число учредителей OpenBSD НЕ вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft, NCC Group, OWASP Foundation и Red Hat. В качестве участников НЕ присоединились компании GitLab, HackerOne, Intel, Uber, VMware, ElevenPaths, Okta, Purdue, SAFECode, StackHawk и Trail of Bits.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #29

18. Сообщение от Аноним (7), 04-Авг-20, 04:12	+/–
OpenBSD на самом деле появился тупо потому, что де Раадта выгнали из всех других мест. И уж только потом из-за безопасности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от Аноним (13), 04-Авг-20, 06:24	+/–
Есть с кого спросить хотя бы. Т нельзя рассуждать как "мы просто не должны совершать ошибок".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #24, #77

20. Сообщение от Аноним (20), 04-Авг-20, 06:36	–6 +/–
Только в рамках принятого западного права, и тем где оно распространяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #22, #98

21. Сообщение от ss (??), 04-Авг-20, 07:57	+/–
Это может произойти и с самим Линусом... Хоть обидентифицируйся, а если нашли чем заинтересовать - то все эти идентификации только на руку злоумышленнику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #48

22. Сообщение от ss (??), 04-Авг-20, 08:01	+8 +/–
Причем тут "западного"? С СССР оно тоже было неотчуждаемым. Вы так тролите или просто западнофил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от ss (??), 04-Авг-20, 08:04	+/–
Ну спросили и что?? "А он плюнет в глаза и скажет что видит его первый раз в жизни" (с) МВИН
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

25. Сообщение от Ананоним (?), 04-Авг-20, 08:04	+/–
Я не понял, это "пчёлы против мёда" шоле? О как!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от ss (??), 04-Авг-20, 08:05	+1 +/–
Как раз безопасность для корпораций -это мед за который все эти пчелы очень ратуют...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28, #33

27. Сообщение от Аноним (27), 04-Авг-20, 08:07	+/–
А что случилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #40

28. Сообщение от Аноним (28), 04-Авг-20, 08:10	+/–
На этом можно неплохо обогатиться ничего не делая:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #31

29. Сообщение от ss (??), 04-Авг-20, 08:11	+1 +/–
Все что надо знать об "безопасности" OpenBSD: "OpenBSD no longer uses the term "vulnerability" when referring to bugs that lead to a remote denial of service attack, as opposed to bugs that lead to remote control of vulnerable systems to avoid oversimplifying ("pablumfication") the use of the term. " Главное правильно подобрать интерпретацию термина :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #32

31. Сообщение от ss (??), 04-Авг-20, 08:14	+1 +/–
Неплохо обогатиться ничего не делая можно более простыми способами. А они делают и весьма много. Правда порой весьма спорные вещи. "Мы все делаем для вашего блага" (с) Менеджер гугл
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от б.б. (?), 04-Авг-20, 08:14	+1 +/–
а о безопасности OpenSSF что нужно знать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34

33. Сообщение от Ананоним (?), 04-Авг-20, 08:16	–1 +/–
И как же они после будут отухлять старые, конкурирующие с новыми-модными-молодёжными, выпуски ПО? А разработчики шо, на улицу захотели? Если будут создавать неуязвимое ПО, их же на мороз выпнут. Во дела...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #35

34. Сообщение от ss (??), 04-Авг-20, 08:16	+2 +/–
Что вам теперь некуда бежать :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от ss (??), 04-Авг-20, 08:19	+1 +/–
выйдет новый процессор, на котором ваше старое ПО просто не запустится... найдут случайно затесавшийся баг... (с частотой 1/365 релиза) возникнет новый хайп... ой.. вы такие наивности говорите.. "Постоянная работа над ошибками доводит их до совершенства" (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от Fracta1L (ok), 04-Авг-20, 08:35	+/–
Что планируют делать с сишными дыренями?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

39. Сообщение от Аноним (39), 04-Авг-20, 08:41	+/–
Повышать их безопасность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

40. Сообщение от Сейд (ok), 04-Авг-20, 08:42	+/–
Попала в тюрьму за вождение без прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #51

42. Сообщение от Аноним (42), 04-Авг-20, 08:58	+/–
Чипизация же!
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (81), 04-Авг-20, 09:01	+/–
Это все пустое. "Преступность победить нельзя."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

45. Сообщение от ss (??), 04-Авг-20, 09:05	+/–
Можно. И генерал Ле Вин это доказал практически.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

46. Сообщение от Аноним (46), 04-Авг-20, 09:08	+/–
> В число учредителей OpenSSF вошли такие компании, как GitHub, Google, IBM, JPMorgan Chase, Microsoft Ясно, очередная диверсия против СПО.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от пох. (?), 04-Авг-20, 09:30	+/–
> Это может произойти и с самим Линусом... это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам. А вот о большинстве остальных, указанных в credits - неизвестно ничего, кроме мэйла и того имени, которым они себя сами назвали. Теперь еще и фотки разворота паспорта, трудами циско и rbm. Остальные данные радостно продаст пейсбук, или их сопрут бесплатно у какого-нибудь твитера. А там и чем "заинтересовать" найдется (не каждого, но и нужно-то небольшое количество). Вот у товарищмайора, к примеру, паяльник есть интересный - хошь поближе познакомиться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #62

49. Сообщение от Аноним (81), 04-Авг-20, 09:31	+/–
Хм... Только один? У других не вышло?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #55

50. Сообщение от YetAnotherOnanym (ok), 04-Авг-20, 09:41	+/–
> JPMorgan Chase Эти-то чего там забыли?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #96

51. Сообщение от Анорим (?), 04-Авг-20, 09:50	+/–
Это где же вождение без "прав" - уголовка? В России - административка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #76

55. Сообщение от ss (??), 04-Авг-20, 10:00	+/–
Другие просто не хотели
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #90

57. Сообщение от Аноним (57), 04-Авг-20, 10:07	+/–
>создание средств для проверки идентичности разработчиков. спасибо, не нужно
Ответить | Правка | Наверх | Cообщить модератору

61. Сообщение от ss (??), 04-Авг-20, 10:13	+1 +/–
Защищают свои интересы естественно :) Вас же не удивляет что весьма крупный в россии вычислительный кластер построил сбербанк?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #63

62. Сообщение от ss (??), 04-Авг-20, 10:14	+/–
>это слишком публичная фигура - с ним этот фокус может внезапно дорого обойтись самим фокусникам. Это будет разоблачение века :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

63. Сообщение от Аноним (39), 04-Авг-20, 11:11	+/–
Удивляет что не Роснефть или Газпром, но там совсем другие видать интересы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Аноним (64), 04-Авг-20, 11:19	+/–
Хотелось бы, чтоб не забывчивый анон напомнил забывчивому - что там случилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

65. Сообщение от Мастеррецензент из компании в колабасасе (?), 04-Авг-20, 11:45	+/–
а кто сказал, что в спо можно впатчить чего угодно? "This has been going on for *years*, and doesn't seem to be getting any better." "I'm f*cking tired of the fact that you don't fix problems in thecode *you* write"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

66. Сообщение от Аноним (66), 04-Авг-20, 11:59	+/–
Все с анонимностью борятся
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

69. Сообщение от InuYasha (??), 04-Авг-20, 12:26	+/–
>>В число учредителей OpenSSF вошли такие компании, как (0_0) Прямо список корпораций зла! (кстати, спасибо за него)
Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от Аноним (75), 04-Авг-20, 14:28	+/–
>Организация Linux Foundation объявила о формировании нового совместного проекта Началось... когда эти корпорасы что-то там объявляют я начинаюсь тревожится, что-то они там задумали пртив Свободы, GNU и FSF.
Ответить | Правка | Наверх | Cообщить модератору

76. Сообщение от Аноним84701 (ok), 04-Авг-20, 15:32	+1 +/–
> Это где же вождение без "прав" - уголовка? За повторный "DUI" (driving under influence)? Да много где: https://www.french-property.com/guides/france/driving-in-fra... > Driving under influence of drugs/Failing to co-operate with preliminary test    2 years     €4,500     > Driving without a licence    1 year    €15,000    -    - https://dejure.org/gesetze/StVG/21.html > наказываются лишением свободы на срок до одного года или денежным штрафом ... (причем, без всяких DUI, да еще и для владельца транспорта, допустившего к управлению такое лицо) - - > В России - административка. https://shtrafy-gibdd.ru/articles/ezda-bez-prav-posle-lishen... > Штраф ГИБДД за езду пьяным после лишения прав за пьяную езду в 2020 году составляет > 200 000 - 300 000 р. либо тюрьма до 2 лет > Статья 264.1 УК РФ >
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

77. Сообщение от Hdjzh (?), 04-Авг-20, 15:47	+/–
Поиск виноватых ничем не лучше. Плюс хакеры, желающие насолить, могут или украсть личность, или сделать фейковую и с неё закоммитить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

78. Сообщение от Аноним (78), 04-Авг-20, 17:44	+1 +/–
> Среди угроз, вызванных отсутствием идентификации разработчиков Вот похерил товарищ майор gnupg: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 а теперь локти кусают. Проводил исследование использования подписи PGP в открытых проектах: Очень хороший, образцовый, пример организации проверки аутентичности и целостности кода: https://www.altlinux.org/Работа_с_ключами_разработчика прям гордость за наших! http://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgkey... Кроме ALT Linux можно отметить отличной оценкой: archlinux.org, archlabslinux.com, debian.org, kali.org, puri.sm, qubes-os.org. Хорошо стараются: freebsd.org, gentoo.org. Еще ~40 дистров с первых 100 с distrowatch.org можно отметить как удовлетворительно, хотя бы образ ISO свой подписывают. Остальные ~50% с первых 100 с distrowatch.org даже свой образ ISO не подписывают! Ситуация с сорцами вообще плохая: Исследовано ~ 1500 проектов Подписано ~ 20% Подписано двумя или более < 1% Изменились подписи мейнтейнеров, без крос подписи ~ 20 проектов (люди в глаза друг другу не смотрели, лично не встречались, а проект отдали в другие руки). Не выложили нигде свой публичный ключ ~ 5 пакетов. Подписанный сабключом без крос подписи первичного ключа - 1 проект.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82, #83

79. Сообщение от Аноним (81), 04-Авг-20, 17:50	–2 +/–
Открытое безопасным быть не может. По определению. Зачётно сказано!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

80. Сообщение от Аноним (78), 04-Авг-20, 17:51	+3 +/–
Ты не знаешь силы математики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #84, #92

81. Сообщение от Аноним (81), 04-Авг-20, 17:52	+/–
Это сладкое слово свобода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

82. Сообщение от Аноним (82), 04-Авг-20, 17:57	+/–
> Подписанный сабключом без крос подписи первичного ключа - 1 проект. Так и я могу любой, подписанный кем-то, файл "подписать". Это документирования фича OpenPGP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

83. Сообщение от Аноним (82), 04-Авг-20, 18:02	+/–
> создание средств для проверки идентичности разработчиков. Верните SKS и pgp как было. Откатите gnupg до версии 2.2.16 и поставте в ней количество подписей на ключ такое же как на серверах SKS!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

84. Сообщение от Аноним (81), 04-Авг-20, 20:44	–1 +/–
О да! Силы маркетинга великая вещь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

89. Сообщение от Аноним (81), 04-Авг-20, 23:17	+/–
Читать надо между строк. Главное слово гендерной. Всяк хочет анонимом остаться. Но ответ держать придётся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

90. Сообщение от Аноним (81), 04-Авг-20, 23:18	+/–
Хотели-хотели. Но не шмогли. И теперь ноют, что их шпилят во все дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

92. Сообщение от Аноним (92), 05-Авг-20, 06:38	+/–
Во славу Пифагора!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

95. Сообщение от Аноним (95), 05-Авг-20, 15:40	+/–
Слегка дурновато пахнущая инициатива
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

96. Сообщение от ZOGmaster (?), 05-Авг-20, 16:59	+/–
Не тrогайте наших агентов, меrзкие гои!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

97. Сообщение от Аноним (-), 05-Авг-20, 17:40	+/–
Было такое: "I'm not anti-vendor, I've built several of them and currently own one. But I think that vendor-domination of Open Source inevitably dilutes the rights of everyone else. With its increasing participation in Open Source, there's even a chance that Microsoft could be offered an OSI board seat." (B.Perens, 2008) А потом такое: "The current Data Curators are: Lanx Goh, Eric Lachaud, and Alex Li on behalf of Microsoft" "The current Code Committers are: Benjamin Wong, Jieying Chng, and Alex Li on behalf of Microsoft" И даже такое: "The data leak was first reports on May 6 by experts at the data breach monitoring Under the Breach, a hacker claimed to have obtained 500 GB of source code from Microsoft’s private GitHub repositories."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

98. Сообщение от Аноним (98), 05-Авг-20, 17:55	+/–
Россияне эти законы тоже протолкали, в том же виде, копирасы очень уж лоббировали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

99. Сообщение от Firecat (ok), 05-Авг-20, 18:55	+/–
Интересно, они планируют все дистрибутивы проверять на безопасность?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема