Комментарии 2
«В Core Infrastructure Initiative и Open Source Security Coalition планируют разработать новые механизмы проверки контрибьюторов. Об их специфике известно мало, но...»
Но учитывая, что Linux Foundation полностью контроллируется корпоративными донорами из Microsoft, Google и Facebook можно не сомневаться, что данные механизмы позволят улучшить базу данных потенциальных сотрудников для данных компаний и нарушит все возможные и невозможные границы частной жизни участников опенсорс проектов. Вангую аутентификацию перед коммитом через OpenID с обязательной проверкой профилей в соц сетях и автоматическими банами по случайной причине без объяснений в стиле гугла. Нет профиля в ФБ — не стоит тебе доверять такую ответственную вещь, как комит в опенсорсный проект, а то мало ли в какие библиотеки, которые МС вшивает в свои продукты без валидации и code review, ты закинешь свой вирус. А если учесть, что МС уже купила Гитхаб, то и с принудительным внедрением данных инновационных мер безопасности проблем очевидно не возникнет.
Но учитывая, что Linux Foundation полностью контроллируется корпоративными донорами из Microsoft, Google и Facebook можно не сомневаться, что данные механизмы позволят улучшить базу данных потенциальных сотрудников для данных компаний и нарушит все возможные и невозможные границы частной жизни участников опенсорс проектов. Вангую аутентификацию перед коммитом через OpenID с обязательной проверкой профилей в соц сетях и автоматическими банами по случайной причине без объяснений в стиле гугла. Нет профиля в ФБ — не стоит тебе доверять такую ответственную вещь, как комит в опенсорсный проект, а то мало ли в какие библиотеки, которые МС вшивает в свои продукты без валидации и code review, ты закинешь свой вирус. А если учесть, что МС уже купила Гитхаб, то и с принудительным внедрением данных инновационных мер безопасности проблем очевидно не возникнет.
+1
Как на счёт того, чтобы обсудить СТАРЫЕ проекты?
Вот был CCured, требующий небольшоно допиливания существующего софта на небезопасном языке Си, после чего получается относительно быстро работающий софт с проверками.
web.eecs.umich.edu/~weimerw/p/p232-condit.pdf
Под него портировали sendmail, ftpd, bind. И где это всё? Куда пошли эти достижения?
Вот есть ACSL, но единственный инструмент, который с ним работает, это верификатор Frama-C, то есть, программа должна быть верифицируема, а это надо с нуля уметь так писать. Нет инструмента, чтоб с тем же синтаксисом добавлять языковые проверки.
После того, как код на Си инкрустирован CCured и аннотациями ACSL, его можно было бы автоматом переводить в более безопасный язык программирования, такой, как Ада. Ну и кто этим занимается.
Как вышел профессор Некула на пенсию, так и заглохло всё с CCured.
Вот был CCured, требующий небольшоно допиливания существующего софта на небезопасном языке Си, после чего получается относительно быстро работающий софт с проверками.
web.eecs.umich.edu/~weimerw/p/p232-condit.pdf
Под него портировали sendmail, ftpd, bind. И где это всё? Куда пошли эти достижения?
Вот есть ACSL, но единственный инструмент, который с ним работает, это верификатор Frama-C, то есть, программа должна быть верифицируема, а это надо с нуля уметь так писать. Нет инструмента, чтоб с тем же синтаксисом добавлять языковые проверки.
После того, как код на Си инкрустирован CCured и аннотациями ACSL, его можно было бы автоматом переводить в более безопасный язык программирования, такой, как Ада. Ну и кто этим занимается.
Как вышел профессор Некула на пенсию, так и заглохло всё с CCured.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Кто займется развитием безопасности открытого ПО — обсуждаем новые проекты и их будущее