The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Linux Foundation вводит систему оценки качества, безопасности и стабильности СПО

05.05.2016 11:37

Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал первые результаты продвижения инициативы Best Practices Badge Program для стимулирования повышения безопасности свободных проектов.

В рамках инициативы сформирован набор критериев, составленных с учётом опыта наиболее серьёзно относящихся к безопасности сообществ. Список включает 74 критерия, разделённых по степени важности (обязательные, желательные и рекомендуемые). Выполнение критериев позволяет судить о серьёзном отношении проектов к безопасности, обеспечению качества и поддержанию стабильности кодовой базы. Для оценки соответствия своего проекта предъявляемым критериям подготовлено простое web-приложение.

На базе данных критериев запущена программа сертификации соответствия проектов требованиям качества, безопасности и стабильности. Прошедшие сертификацию проекты получают право размещения на сайте специального знака качества, сигнализирующего о серьёзном отношении разработчиков к безопасности. В настоящее время заявки на проведение проверки сформированы для 114 проектов. Успешно прошли проверку 7 проектов: Curl, GitLab, ядро Linux, OpenBlox, OpenSSL, Node.js и Zephyr. Три проекта признаны не соответствующими критериям (pkgsrc - указание нескольких лицензий в разных файлах, container-tools - сайт без HTTPS, byobu - сайт без HTTPS c TLS). Остальные проекты находятся на стадии проверки.

Ключевые требования к проектам:

  • Доступный по постоянному адресу web-сайт, на котором описано назначение проекта, предоставлены ссылки для загрузки, имеется возможность отправки отзыва разработчикам и доступна инструкция по подключению к разработке/отправке изменений;
  • Использование типовой свободной лицензии и размещение информации о лицензии в файлах LICENSE или COPYING;
  • Поддержка HTTPS на сайте;
  • Наличие документации, описывающей установку и запуск, а также наличие спецификации для API;
  • Доступность кода через распределённые системы контроля версий и возможность оценки изменений между релизами;
  • Присвоение каждому выпуску уникального номера версии в формате семантического версионирования;
  • Наличие списка изменений, в котором явно выделены исправленные уязвимости;
  • Предоставление средства для отправки разработчикам сообщений об ошибках и отслеживания их исправления. Доступ к архиву сообщений о проблемах. Аргументированная реакция на любые сообщения об ошибках и запросы на улучшения, без игнорирования;
  • Наличие безопасного и документированного процесса отправки уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;
  • Возможность сборки с использованием штатных открытых инструментов. Возможность включения сборки в режиме вывода предупреждений компилятором и компоновщиком. Возможность запуска статических анализаторов кода;
  • Наличие автоматизированного тестового набора, покрывающего большую часть функциональности проекта. Добавление новых тестов для нового кода;
  • Автоматизированный запуск тестов для всех изменений и применение динамических проверок с использованием анализаторов, подобных Valgrind, систем fuzzing-тестирования и сканеров безопасности;
  • Знание разработчиками методов безопасного программирования и типовых ошибок, приводящих к уязвимостям;
  • В случае наличия поддержки шифрования применение публичных протоколов и алгоритмов, задействование уже готовых проверенных и открытых реализаций, использование ключей надлежащей длины, отказ от поддержки проблемных и уязвимых алгоритмов, использование алгоритмов с Forward secrecy, хранение любых паролей в форме хэшей с солью, применение надёжных генераторов случайных чисел.


  1. Главная ссылка к новости (http://www.linuxfoundation.org...)
  2. OpenNews: Организация Linux Foundation представила платформу для критически важных технических систем
  3. OpenNews: Инициативы Linux Foundation, касающиеся безопасности СПО и диагностики производительности
  4. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  5. OpenNews: Сформирован рейтинг СПО, требующего первоочередного аудита безопасности
  6. OpenNews: Фонд свободного ПО сертифицировал четвёртый ноутбук
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/44378-linuxfoundation
Ключевые слова: linuxfoundation
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:45, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Скажите, как эту сертификацию могли пройти ядро, официально не отделяющее уязвимости от обычных ошибок, и Node.js не выделяющий уязвимости в V8?
    В свете этого: "The release notes MUST identify every publicly known vulnerability that is fixed in each new release". У GitLab тоже не всё гладко.

    Если покликать на результатах становится ясно, что прошедшие тест проверялись формально только по десятку самых простых признаков типа HTTPS на сайте и нормальная лицензия.  42 критерия со статусом MUST никто не анализировал.

     
     
  • 2.3, IMHO (?), 11:48, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тихо LF не хочет ссорится с теми кто их спонсирует
     
  • 2.40, Анончег (?), 22:12, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тень сам знаешь кого не очень-то одобряет такие разговорчики, товарищ... пока ещё товарищ.
     

  • 1.5, Аноним (-), 12:12, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    "Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал"


    Кто на ком стоял? ©

     
     
  • 2.19, Модификатор (?), 16:17, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > "Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative,
    > в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения
    > поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
    > анонсировал"
    > Кто на ком стоял? ©

    Да там перлы щедро насыпаны:

    "Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения"

    Родительный падеж:  Кого, чего?
    Чего запросов? Где остальной кусок смысла?
    Если "Реакция на", то "Реакция на запросЫ", а не "запросов".

    Кто на ком стоял? ©

     
     
  • 3.21, Модификатор (?), 16:19, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Великая могучая русскава языка" (С)


     
     
  • 4.28, Аноним (-), 22:48, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ЕГЭ улучшение было есть реформа образование!
     
  • 4.30, Аноним (-), 00:26, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > "Великая могучая русскава языка" (С)

    Ниправильна!

    В худой котомк поклав ржаное хлебо,
    Я ухожу туда, где птичья звон,
    Я вижу над собою синий небо,
    Косматый облак и высокий крон.
    Я дома здесь. Я здесь пришел не в гости.
    Снимаю кепк, одетый набекрень.
    Веселый птичк, помахивая хвостик,
    Высвистывает мой стихотворень.
    Зеленый травк ложится под ногами,
    И сам к бумаге тянется рука,
    И я шепчу дрожащие губами:
    «Велик могучим русский языка!»

     

  • 1.6, Аноним (-), 12:13, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;

    Шо.. неужели ?

     
     
  • 2.11, Andrey Mitrofanov (?), 13:07, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>должна быть устранена не более чем за 60 дней;
    > Шо.. неужели ?

    Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это наклеечку!

     
     
  • 3.41, Анончег (?), 22:15, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это
    > наклеечку!

    "Поверед бу фаундэйшын" - точно, Митрофаныч, тут ты прав.

     

  • 1.7, Аноним (-), 12:39, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками, можно поднять бобла на сертификации и аттестации, как у настоящих бизнесменов
     
     
  • 2.14, Нанобот (ok), 13:43, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    да ладно. наличие метрик лучше отсутствия метрик.
     
  • 2.27, Led (ok), 21:17, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками

    А что делать: специалистов днём-с-огнём не сыщешь, а всяких оценщиков и прочих пэхапе-гвидобейско-г-кодеров - как собак не резаных. Надо же их чем-то занять?

     
  • 2.29, Аноним (-), 22:55, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот и альтернативно-одаренные подтянулись! дефективный менеджер, не иначе
    в чем предлагается измерять качество, безопасность и стабильность?
    нам же метрология не нужна, так?
     
     
  • 3.36, Аноним (-), 11:28, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ценой лицензий/поддержки?
     

  • 1.13, Аноним (-), 13:26, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Надо было приписать, чтобы в HTTPS использовалась правильная SSL либа, а не левый OpenSSL...
     
     
  • 2.16, cmp (ok), 13:45, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не соответсвуют.
     
     
  • 3.31, Аноним (-), 00:28, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не
    > соответсвуют.

    Видимо, решили не участвовать в этой клоунаде. Более чем уверен, например, что LibreSSL точно не захочет. А то вот прямо уже прямо вижу Боба Бека, рвущегося получить ярлычок от Linux Foundation, что он чему-то там соответствует...

     
     
  • 4.33, cmp (ok), 01:31, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ну конечно, боб бек наше все куда уж до него смертным.

    А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и будете дальше вариться, пока не помрете, что никто даже не заметит. Право ваше.

     
     
  • 5.38, Аноним (-), 20:48, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ну конечно, боб бек наше все куда уж до него смертным.  
    > А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у
    > вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь
    > отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и
    > будете дальше вариться, пока не помрете, что никто даже не заметит.
    > Право ваше.

    Вы забыли добавить собственно про домкрат.[1]

    К чему ваш комментарий — вообще не понятно. Я написал, зная (немного) характер Боба. Который (вам не интересно, я помню, поэтому не читайте... не читайте, говорю!) является одним из создателей LibreSSL и одним из корневых разработчиков OpenBSD, ответственным, в том числе, за часть инфраструктуры проекта. Но вам, видимо, достаточно что-то где-то слышать только про Тео, а остальные недостойны упоминания в анналах истории.

    Спасибо за ваш звонок, мы обязательно учтём ваше мнение в следующей жизни.

    ----

    [1] http://www.razlib.ru/psihologija/70_osnovnyh_psihologicheskih_lovushek/p4.php

     

  • 1.17, Вареник (?), 16:13, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Резюме последних инициатив GNU:

    "Не хочу писать код. Хочу рукой водить, каждую неделю устраивать конкурсы и быть в них жюри. Хочу оценивать сайты по степени продвижения ими моего фонда. Хочу судить проекты, независимо от того что они не с моей лицензией. СПО - это Я".

     
     
  • 2.22, Andrey Mitrofanov (?), 16:32, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Резюме последних инициатив GNU:

    Вы темой ошиблись. Здесь про хороводы за мзду с капрофагами.
       Вы спутали GNU и FSF.
          Вы не в курсе более ранних инициатив FSF, почему? 30+ лет истории ждут.

     
  • 2.34, бедный буратино (ok), 05:14, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    причём здесь GNU?
     

  • 1.18, Вареник (?), 16:16, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)
     
     
  • 2.20, Модификатор (?), 16:19, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться
    > OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)

    Вот только вслух не надо.
    Они же читают!

     

  • 1.23, Аноним (-), 17:51, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ожидаем сертифицированные уязвимости
     
  • 1.24, Аноним (-), 18:16, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ни gcc, ни emacs в списке нет. Не говоря уж о всяких cp, mv и прочих rm...
     
  • 1.25, bOOster (ok), 18:30, 05/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Капец, а GNUшники читать то умеют? Судя по поддержке POSIX наврядли….
     
     
  • 2.26, Аноним (-), 19:42, 05/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это не гнушники, это совершенно левые жлобы, ничего полезного не сделавшие для опенсорца. Посмотри на их членов.
     
     
  • 3.39, Аноним (-), 21:01, 06/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Посмотри на их членов

    Уверен, что там ни один не стоит.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру