Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Firma Fortify Software, która specjalizuje się w produkcji systemów zabezpieczeń dla biznesu, twierdzi, że z badań Open Source Security Study wynika, iż większość opensource'owych rozwiązań nie jest gotowych dla biznesu.

Fortify oceniało, czy społeczności pracujące nad różnymi projektami, oferują usługi i zabezpieczenia wymagane w zastosowaniach biznesowych. Okazało się, że proces rozwoju opensource'owego oprogramowania najczęściej nie spełnia przemysłowych wymogów bezpieczeństwa. Ponadto niemal żadna ze społeczności nie zapewnia użytkownikom dostępu do ekspertów, którzy potrafiliby doradzić klientowi biznesowego.

Oprogramowanie opensource'owe może być wartościową alternatywą w dzisiejszym świecie korporacyjnym, jednak, podobnie jak ma to miejsce w przypadku oprogramowania komercyjnego, osoby odpowiedzialne za bezpieczeństwo powinny skupić się na błędach w programach - mówi Howard A. Schmidt, były doradca Białego Domu ds. cyberbezpieczeństwa.

Zauważa on, że w każdym oprogramowaniu występują niedociągnięcia, jednak procedury testowania i analizowania kodu powinny być bardziej przestrzegane w oprogramowaniu opensource'owym. Dzięki takiej zmianie podejścia Wolne Oprogramowanie będzie miało większą szansę na podbój rynku biznesowego.

Larry Suto, znany konsultand ds. bezpieczeństwa IT, sprawdził na zlecenie Fortify 11 najpopularniejszych opensource'owych pakietów. Ponadto Fortify uzyskało od rozwijających je społeczności informacje na temat stosowanych procedur bezpieczeństwa. Pobrano też i przeanalizowane wiele wersji każdego z pakietów, a najważniejsze fragmenty kodu sprawdzono ręcznie. Wśród największych grzechów opensource'owych społeczności należy wymienić brak szczegółowej dokumentacji dotyczącej bezpieczeństwa, brak systemu powiadamiania użytkowników o wykrytych lukach oraz trudności w skontaktowaniu się ze specjalistami odpowiedzialnymi za bezpieczeństwo projektów i skonsultowaniu z nimi wątpliwości.

Analizy wykazały też, że największe problemy opensource'owemu oprogramowaniu sprawiają dwa typu luk - dziury umożliwiające ataki SQL injection (znaleziono ich 15 612) oraz cross-site scripting (22 828 znalezionych).

Fortify przyznaje, że do przeprowadzenia badań nakłonił firmę fakt rosnącej popularności opensource'owego oprogramowania. Zdaniem firmy analitycznej Gartner, do roku 2011 aż 80% komercyjnych programów będzie zawierało fragmenty otwartego kodu. Fortify zauważa, że z jednej strony biznes coraz chętniej sięga po Wolne Oprogramowanie, z drugiej jednak, zdecydowana większość społeczności nie wdrożyła procedur bezpieczeństwa, które są wymagane na rynku zastosowań korporacyjnych.

Z tego też powodu firmy używające opensource'owych rozwiązań narażone są na ukryte koszty związane z samodzielnym testowaniem oprogramowania i produkcją łatek - mówi niezależna konsultantka Jennifer Bayuk.

Część opensource'owych projektów staje się jednak coraz bardziej profesjonalna. Wystarczy wspomnieć tutaj przykład Mozilli, która w bieżącym miesiącu wynajęła niezależnego konsultanta, Richa Mogula, który pomoże producentowi Firefoksa w dostosowaniu się do wymagań świata korporacji.

Share this post


Link to post
Share on other sites

Proszę mnie poprawić jeśli się mylę, ale większość dużych dystrybucji żyje w symbiozie z firmami które oferują komercyjne wsparcie, nie jest więc prawdą iż firma instalująca np. server Linux'owy jest skazana na radzenie sobie samemu z każdym błędem.

Share this post


Link to post
Share on other sites

Coz to za bzdury? To biznes nie jest przygotowany na przyjecie oprogramowania Opensource, takoz i sami pracownicy wielkich firm; ktorzy niejednokrotnie maja po prostu problemy z obsluga systemow komputerowych. Nalezaloby wskazac w szczegolnosci na amerykanow.

Share this post


Link to post
Share on other sites

Coz to za bzdury? To biznes nie jest przygotowany na przyjecie oprogramowania Opensource, takoz i sami pracownicy wielkich firm; ktorzy niejednokrotnie maja po prostu problemy z obsluga systemow komputerowych. Nalezaloby wskazac w szczegolnosci na amerykanow.

 

firmy szanujące się i dbające o bezpieczeństwo mają pewne wymagania, dlatego oczywistym jest, że open source można uznawać za "niegotowe", bo dziur w takich programach jest niemało.

to, że niektórzy mają problemy z obsługą systemów komputerowych nie ma nic do rzeczy.

Share this post


Link to post
Share on other sites
większość opensource'owych rozwiązań nie jest gotowych dla biznesu.

 

Też się z tym zgadzam. Jednak ta mniejszość opensourcowych rozwiązań które są gotowe dla biznesu i tak jest powalająco duża.

Share this post


Link to post
Share on other sites

Artykul ten dotyczy raczej projektow otwartych serwisow www, poniewaz jako luki wymienia sie SQL injection oraz cross-site scripting. Generalnie cecha projektow opensource-owych jest mala ilosc bledow oraz szybki czas reakcji na zgloszenia przez bugtrackery. Ponadto istnieje unikalna mozliwosc bezposredniego kontaktu z programistami.

 

Faktycznie projekty opensource wprowadzaja nowy model wspolpracy pomiedzy uzytkownikami a programistami.O tym, ze projekty opensource sa jednak stosowane w biznesie jest fakt, ze Linux jest standardem na serwerach i jest coraz czesciej stosowany jako platforma na tanich urzadzeniach przenosnych.

 

Aktualnie odchodzi model pudelkowych aplikacji. Kazda firma ma swoja specyfike i aplikacje musza byc do niej dostosowane w mniejszy lub wiekszy sposob. W przypadku aplikacji zamknietych poprawek moze dokonywac tylko wlasciciel praw do zrodel. Co jesli taka firma nie chce zmodyfikowac dla nas aplikacji? W wypadku opensource problem nie istnieje, gdyż dokonywac poprawek moze dowolny podmiot. Dlatego zdaniem wady wymienione w artykule, czyli potrzeba / mozliwosc samodzielnego modyfikowania kodu aplikacji opensource sa zaletami.

 

Wartym odnotowania jest fakt, ze amerykanska armia planuje rezygnacje z narzedzi komercyjnych co bedzie największą w historii migrację na Linuksa.

więcej na ten temat : http://nt.interia.pl/tylko-u-nas/najlepiej-oceniane/news/armia-rezygnuje-z-windowsa,1054508

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
      Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
      W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
      Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
      Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
      Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
      Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.
      Wszystkie powyższe dane dotyczą USA.
    • By KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
      Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
    • By KopalniaWiedzy.pl
      Po skandalu Carrier IQ w Izbie Reprezentantów złożono projekt ustawy, która ma zapewniać lepszą ochronę klientom sieci telefonii komórkowych. Mobile Device Privacy Act został złożony przez Edwarda Markeya’a z Partii Demokratycznej.
      Ustawa przewiduje, że „konsumenci mają prawo wiedzieć jakie oprogramowanie, które zbiera i przesyła ich dane osobiste, jest obecne na urządzeniu przenośnym i mają prawo nie zgodzić się na jego obecność“. Przewidziano też, że w przyszłości zbieranie i przesyłanie danych nie będzie możliwe bez wyraźnej zgody użytkownika. Ponadto firmy, które chciałyby przekazać takie dane firmom trzecim, będą musiały uzyskać zgodę Federalnej Komisji Handlu i Federalnej Komisji Komunikacji.
      Ustawa nakłada też na sprzedawców urządzeń mobilnych informowanie użytkownika o tym, czy na urządzeniu zainstalowano oprogramowanie zbierające dane, jakie dane są zbierane, do kogo zostają wysłane i w jakim celu są używane. Firmy zbierające dane będą zaś musiały odpowiednio je zabezpieczyć.
      Teraz Markey musi znaleźć odpowiednie poparcie dla swojej ustawy, co pozwoli prowadzić nad nią dalsze prace.
    • By KopalniaWiedzy.pl
      Microsoft poinformował, że w bieżącym roku załatał rekordowo małą liczbę krytycznych dziur. Ostatnio tak mało luk znaleziono w produktach koncernu w 2005 roku.
      W całym bieżącym roku Microsoft wydał 99 biuletynów bezpieczeństwa, z czego 32% stanowiły biuletyny oznaczone jako „krytyczne". W drugiej połowie roku ich odsetek wynosił 20%.
      Zdaniem przedstawicieli Microsoftu, mniejsza liczba wykrywanych krytycznych błędów to efekt dobrej pracy poszczególnych grup produktowych.
      Przed dwoma dniami, we wtorek, koncern wydał ostatni w bieżącym roku zestaw łat. W jego skład weszło 13 biuletynów, poprawiających 19 dziur. Trzy biuletyny zyskały ocenę „krytyczne". Początkowo planowano publikację 14 biuletynów dla 20 dziur, jednak okazało się, że jedna z łat jest niekompatybilna z oprogramowaniem firmy trzeciej, zostanie więc udostępniona po rozwiązaniu problemu.
    • By KopalniaWiedzy.pl
      Przedstawiciel Google'a oskarżył firmy antywirusowe o sianie bezpodstawnej paniki i nazwał je szarlatanami i oszustami. Chrisa DiBonę zirytowały ostatnie raporty, które donoszą o szybkim wzroście liczby malware'u na system Android. Nie tylko Juniper Networks informuje o zaobserwowaniu takiego zjawiska. Także McAfee twierdzi, że niemal cały nowy szkodliwy kod, który pojawił się w III kwartale bieżącego roku, był przeznaczony na platformę Google'a.
      Firmy antywirusowe grając na strachu próbują sprzedać oprogramowanie zabezpieczające dla Androida, RIM-a i iOS-a. To szarlatani i oszuści. Jeśli pracujesz dla firmy, która sprzedaje programy antywirusowe dla Androida, RIM-a i iOS-a, to powinieneś się wstydzić - napisał na Google+ menedżer Google'a ds. open source i programów sektora publicznego.
      Komentarz DiBony ukazał się dzień po publikacji raportu Junipera, a dzień później swój raport zaprezentował McAfee. W dokumencie tym czytamy, że w bieżącym kwartale Android był jedynym celem twórców nowego złośliwego oprogramowania.
      Irytację DiBony musiał spowodować też raport Bit9, w którym wymieniono „Parszywą dwunastkę" najbardziej dziurawych urządzeń przenośnych. Wszystkie miejsca na liście zajmują urządzenia z Androidem.
      DiBona stwierdza, że żaden z dużych producentów telefonów komórkowych nie ma problemów z wirusami w tradycyjnym sensie, tak jak to widzimy w przypadku platform Windows czy Macintosh. Są pewne drobne problemy, ale rzeczy nie posunęły się daleko, dzięki modelowi ‚piaskownicy' oraz naturze jąder wykorzystywanych przez systemy mobilne.
      Specjaliści ds. bezpieczeństwa nie zgadzają się z DiBoną i martwi ich podejście Google'a do kwestii związanych z ochroną użytkowników. Dzisiaj szkodliwy kod dla Androida to jeden z największych problemów na rynku malware'u dla urządzeń przenośnych. W ciągu ostatnich 5 miesięcy zauważamy znaczący wzrost liczby szkodliwego oprogramowania dla Androida. W czerwcu odkryliśmy 112 modyfikacji, w lipcu 212, w sierpniu 161, we wrześniu 559, a w październiku 808 - mówi Denis Maslennikov, starszy analityk z Kaspersky Lab. Z kolei Trend Micro donosi o 1410 nowych fragmentach złośliwego kodu odkrytych w pierwszej połowie bieżącego roku.
      Malennikov podkreśla, że główną słabością Androida jest niedostateczna kontrola nad aplikacjami i brak mechanizmów, które zapobiegałyby umieszczaniu w Android Market zarażonych programów. Przypomina, że niektóre złośliwe aplikacje były rozpowszechniane za pomocą oficjalnego sklepu całymi tygodniami lub miesiącami, zanim zostały wykryte i usunięte.
      James Lyne, dyrektor ds. strategii w Sophosie mówi: Jeszcze nie czas, by panikować. Ale na pewno najwyższy czas, by zacząć się zabezpieczać, zamiast chować głowę w piasek i twierdzić, że nic złego się nie stanie, a urządzenia są w jakiś magiczny sposób bezpieczne.
×
×
  • Create New...