« edellinen seuraava »
Sivuja: 1 [2]   Siirry alas

Kirjoittaja Aihe: Mitä hyötyä tuhannesta silmäparista?  (Luettu 8981 kertaa)

jurkki

  • Käyttäjä
  • Viestejä: 48
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #20 : 30.03.07 - klo:23.45 »
mehh, trolli mikä trolli. todistakaa muutoin tai edelleen pidän trollina.

case closed.
Kirjattu

igor_2

  • Käyttäjä
  • Viestejä: 752
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #21 : 12.01.08 - klo:09.28 »
Lainaus käyttäjältä: jurkki - 30.03.07 - klo:23.45
mehh, trolli mikä trolli. todistakaa muutoin tai edelleen pidän trollina.

Täytyy todistaa:

Lainaus
lauantaina 12.1.2008 klo 8:56
USA:n hallituksen tukeman hankkeen kertomaai:
Open sourcessa turva-aukko joka tuhannella rivillä

Yhdysvaltojen hallituksen rahoittama hanke avoimen lähdekoodin turvallisuuden nostamiseksi on tuottanut yllättäviä tuloksia. Linuxista, Firefoxista, Apachesta ja noin 250 muusta ohjelmasta on löytynyt tuhansia turva-aukkoja. Muutama projekti on korjannut ongelmat esimerkillisesti, mutta osa on vasta alkutekijöissään.

Projektin nimi on Open Source Hardening Project, ja sitä rahoittaa Yhdysvaltojen sisäisen turvallisuuden ministeriö. Turva-aukkoja etsivät Coverity-yritys ja Stanfordin yliopisto. Projekti alkoi maaliskuussa 2006, ja nyt melkein kahden vuoden jälkeen turva-aukkoja on jo korjattu 7826 kappaletta.

Tuhat riviä tarkoittaa yhtä turva-aukkoa

Pcworld-lehden tietojen mukaan turva-aukkoja olisi kokonaisuudessaan löytynyt noin yksi aina jokaista tuhatta koodiriviä vastaan. Koodirivejä on käyty läpi noin 50 miljoonaa, joten eriasteisia turva-aukkoja on yhteensä löytynyt mahdollisesti jopa 50 000 kappaletta.

Kyseessä ei välttämättä ole kuitenkaan valmis koodi. Coverityn tekniikka toimii myös web-sivustolla, jossa avoimen lähdekoodin kehittäjät voivat testata projekteihin laitettavaa koodia. Niinpä osa ongelmista on voitu estää jo ennen lähdekoodin julkaisua.

11 esimerkillistä projektia - kymmeniä huolettomia

Coverityn mukaan 11 avoimen lähdekoodin projektia on noussut niin sanotulle rung 2 -asteelle. Näissä turva-aukot on korjattu esimerkillisesti ja heidän käyttöönsä annetaan uusia työkaluja. Näihin projekteihin kuuluu Amanda, NTP, Openpam, Openvpn, Overdose, Perl, PHP, Postfix, Python, Samba ja TCL.

Coverity kuitenkin kertoo, että valtaosa projekteista on vielä asteella rung 1 tai jopa rung 0, jossa korjauksia ei ole kovinkaan innokkaasti.

http://www.tietokone.fi/uutta/uutinen.asp?news_id=32437&tyyppi=1

Mutta oli sitten niin tai näin, niin niin kauan kun näitä Open Sourcen aukkoja vastaan ei varsin hyökkäillä, niin samapa tuo missä kuosissa koodit on.

Ps. Tämä ei edelleenkään ole hyökkäys avointa koodia vastaan, vaan ainoastaan oma henk. koht. näkemys OS:n erinomaisuudesta suhteessa suljettuun koodiin. Realisti täytyy olla.
Kirjattu

Tommi S.

  • Käyttäjä
  • Viestejä: 240
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #22 : 12.01.08 - klo:10.50 »
Minusta tuon uutisen ja siinä kerrotun projektin pääkohta oli tämä: "Projektin nimi on Open Source Hardening Project, ja sitä rahoittaa Yhdysvaltojen sisäisen turvallisuuden ministeriö. Projekti alkoi maaliskuussa 2006, ja nyt melkein kahden vuoden jälkeen turva-aukkoja on jo korjattu 7826 kappaletta."

Sisäisen turvallisuuden ministeriö toimitti muutamia silmäpareja etsimään aukkoja, ja parin vuoden päästä on saatu 8000 aukkoa korjatuksi, mutta suljetussa lähdekoodissa aukot edelleen odottavat löytäjäänsä.
Kirjattu

igor_2

  • Käyttäjä
  • Viestejä: 752
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #23 : 12.01.08 - klo:13.16 »
Lainaus käyttäjältä: Tommi S. - 12.01.08 - klo:10.50
Sisäisen turvallisuuden ministeriö toimitti muutamia silmäpareja etsimään aukkoja, ja parin vuoden päästä on saatu 8000 aukkoa korjatuksi, mutta suljetussa lähdekoodissa aukot edelleen odottavat löytäjäänsä.

Perimmäinen syy voi kyllä hyvinkin olla siinä, että projektia rahoittaa, ja varmaan myös ohjaa, Yhdysvaltojen hallitus, mutta epäilläkin sopii.

Joskus tuntuu, että tämä OS juttu on melko vakaumuksellista puuhaa, jossa omaa pihaa siivotaan osoittelemalla miten törkykunnossa naapurin puoli on. Voi tulla pää vetäjän käteen.

Niin kun jo aijemmin on tainnut tulla ilmi, niin itse ajattelen asiaa niin päin, että mitäpä väliä sillä vaikka ovet olisikin lukitsematta jos kukaan asiaton ei niistä kulje.

Vähän niin kun kaupungissa pitää olla kaikki säpissä ja fillarit kettingillä pylväässä kiinni kontra se, että maaseudulla on vieläkin tapana pitää asunnot lukitsematta - oltiin sitten kotona eli ei. Niin kauan kun jengi  pysyy kaupungissa ja maasedulla ei ole kun reppu selässä kulkevien susien lisäksi joku satunnainen kulkija silloin tällöin, niin hyvä niin.

Murehditaan sitten kun sen aika on.
Kirjattu

Tommi S.

  • Käyttäjä
  • Viestejä: 240
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #24 : 12.01.08 - klo:13.47 »
Lainaus käyttäjältä: igor_2 - 12.01.08 - klo:13.16
Lainaus käyttäjältä: Tommi S. - 12.01.08 - klo:10.50
Sisäisen turvallisuuden ministeriö toimitti muutamia silmäpareja etsimään aukkoja, ja parin vuoden päästä on saatu 8000 aukkoa korjatuksi, mutta suljetussa lähdekoodissa aukot edelleen odottavat löytäjäänsä.

Perimmäinen syy voi kyllä hyvinkin olla siinä, että projektia rahoittaa, ja varmaan myös ohjaa, Yhdysvaltojen hallitus, mutta epäilläkin sopii.

Perimmäinen syy on kyllä siinä että vapaat ohjelmistot ovat vapaita. Vaikka kuinka hallitus laittaisi rahaa ja ohjausta, niin suljetuista ohjelmista ei virheitä yksinkertaisesti voi etsiä, koska ne ovat suljettuja. Tuosta Tietokone-lehden uutisesta sain sellaisen käsityksen että tuossa projektissa oli laitettu jokin hakukone käymään läpi netistä löytyviä lähdekoodeja ja etsimään näistä virheitä, ja faktahan on että esim. Windows Vistan lähdekoodeja ei millään hakukoneella tutkita, oli mukana Yhdysvaltain hallitus tai ei, sillä sitä lähdekoodia ei yksinkertaisesti ole missään saatavilla.

Miljoonakaan silmäparia ei auta suljettujen ohjelmien kanssa, mutta avoimien ohjelmien kohdalla mikä tahansa taho, kuten tuossa esimerkissä Yhdysvaltain hallitus, voi palkata muutaman silmäparin tutkimaan lähdekoodia, ja tulosta syntyy, kuten tuosta uutisesta nähtiin.
Kirjattu

Toni Alenius

  • Käyttäjä
  • Viestejä: 1506
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #25 : 12.01.08 - klo:13.53 »
igor, jospa ennen kuin jatkat tämänkaltaista vaahtoamista, kertaisit OS:än ja OSS:än erot? Edes se olennaisin ero voisi olla hyvä selvittää.

Ei nimittäin ole kovin vakuuttavaa, jos saarnaaja ei edes välitä kirjoittaa oikein asioiden nimiä.
« Viimeksi muokattu: 12.01.08 - klo:13.54 kirjoittanut Toni Alenius »
Kirjattu
Ubuntu 20.04.06 LTS
16 GB DDR3
Intel® Core™ i5 CPU 760 @ 2.80GHz × 4
GeForce GT 730 2GB
480 GB SSD

igor_2

  • Käyttäjä
  • Viestejä: 752
    • Profiili
Vs: Mitä hyötyä tuhannesta silmäparista?
« Vastaus #26 : 12.01.08 - klo:15.38 »
Lainaus käyttäjältä: Toni Alenius - 12.01.08 - klo:13.53
Ei nimittäin ole kovin vakuuttavaa, jos saarnaaja ei edes välitä kirjoittaa oikein asioiden nimiä.

Täytyy yrittää.

Tarkoitus ei ole saarnata eikä tällä saitilla muutenkaan suorittaa käännytystyötä mihinkään suuntaan. Kerron vain omat mielipiteet ja parhaimmillaan yritän perustellakin niitä jotenkin.

Kuten sanottu, henk. koht. olen tyytyväinen tilanteeseen ja silloin tällöin saan jonkun uuden käyttäjänkin ryhmään, mutta olen myös sen verran jääräpää, että rehellinen on oltava niin itselle kun myös "käännytettäville".

Jos koodeissa osoitetaan puutteita ja niitä ei kuukausimääriin korjata, niin on turha puhua mistään nopeasta asioihin regoinnista tms. liirunlaarumista. Minusta se kertoo yksinkertaisesti heikosta sitoutumisesta ja piittaamattomuudesta - mistä muustakaan?
Kirjattu
Sivuja: 1 [2]   Siirry ylös
« edellinen seuraava »