新闻消息

各种在墙内看不到的新闻消息...
如遇无法显示网页(This Page Cannot be found)、连接被重置(Connection was reset)、连接超时(Connection timed out)请多刷新几次页面;或请翻墙访问,如何翻墙请Google ...

2008年8月3日星期日

开源软件真的安全吗?

有些结论可能有点枯燥并且技术性比较强:研究发现静态分析漏洞的密度和函数的长度在统计上是无关的。这意味着完整独立的过程越长它的漏洞就越多并不是完全成立的。

相反的,研究确实发现代码长度和静态分析漏洞数量的线形关系。这意味着代码越多,越复杂,程序就会包含越多的漏洞。

同时,其它的发现也是非常有趣的。这里我非常想说的就是Coverity发现开源软件的总体质量和安全性在持续的改进。

 
 

Sent to you by xingxing via Google Reader:

 
 

via 译言-电脑/网络/数码科技 by bill.chen on 8/2/08

原文作者:David M Williams
原文链接:Is Open Source software safe and secure?
翻译:bill.chen

开源争论的焦点之一就是让你天生的拥有更多的安全性,因为任何人都可以检查程序的代码并证实它在做它应该做的事情。但是,对于不是程序员的人,这就真的意味着一切了吗?从某种意义上,你依然要依赖其它人。开源通过给你程序源代码确实移除了一个主要的障碍,但这只是难题的一部分。你还需要时间和技能去分析它。

Coverity应运而生。它是一家始于斯坦福大学的商业代码分析公司。Coverity最近两年一直在运作一个叫Scan 的项目,此项目主要的资助来自于国土安全部,目的是优化开源软件程序。这星期Coverity发布了它们的2008年开源报告。这个报告非常有意思。它引用了两年来250余个重要的C/C++开源项目数据,像PHP,Perl,Python 和 Samba。

Coverity并不是仅凭猜测工作。他们曾经发现组成X-Windows图形用户界面代码的一处安全漏洞,它可以导致允许任何用户获得超级用户的权力。Coverity宣布他们发布的数据使得32个开源项目在一周内修复了超过900多个漏洞 - 或者说,每小时修复了5个以上的漏洞。这个工程不但包含基础软件如:Samba,Gcc 同时也有流行的工具软件如:Ethereal. Samba项目组说Coverity发现漏洞的代码曾经被认为是绝对健壮和测试过的。

因此,Coverity的报告是非常重要的报告。尽管Coverity的名气不如一些公司大,如:Coverity,Red Hat,但是他们已经证明他们不是一家不可信赖的公司。

从2006年3月份开始的两年里,Scan项目已经扫描了总共55000000行代码(实际上,250个项目被扫描了很多次,大约有14,238次独立的扫描,扫描的代码超过100亿行)。同时这个项目提供了各种各样的编程风格样本。Coverity从他们的研究里边总结出了6个结论。

有些结论可能有点枯燥并且技术性比较强:研究发现静态分析漏洞的密度和函数的长度在统计上是无关的。这意味着完整独立的过程越长它的漏洞就越多并不是完全成立的。

相反的,研究确实发现代码长度和静态分析漏洞数量的线形关系。这意味着代码越多,越复杂,程序就会包含越多的漏洞。

同时,其它的发现也是非常有趣的。这里我非常想说的就是Coverity发现开源软件的总体质量和安全性在持续的改进。

相关文章:

  MMORPG玩家动机研究:因素分析的结果

  火狐市场占有率超过20%,IE跌至70%以下

  软件工程师必须知道的10个概念|读写网

添加评论


 
 

Things you can do from here:

 
 

0 条评论:

发表评论

订阅 博文评论 [Atom]

<< 主页