Veiligheidsgarantie voor 11 open source pakketten
Elf open source pakketten hebben van een bedrijf dat voor de Amerikaanse overheid werkt een veiligheidsgarantie gekregen, maar Linux en Firefox zaten niet bij de winnaars. Amanda, NTP, OpenPAM, OpenVPN, Overdose, Perl, PHP, Postfix, Python, Samba en TCL zouden volgens Coverity vrij van security defecten zijn. Het bedrijf controleerde meer dan 3,5 miljoen regels code in 265 open source programma's, wat er uiteindelijk voor zorgde dat 7826 beveiligingslekken werden gedicht.
Coverity kent nu drie classificaties, waarbij slechts de 11 eerder genoemde programma's de hoogste classificering haalde. Het middelste niveau kent een aantal bekende open source programma's zoals Linux, FreeBSD, Firefox, KDE, OpenSSL, Subversion en Wireshark. 173 programma's bevinden zich op het laagste niveau.
Gemiddeld hebben open source programma's 1 beveiligingslek per duizend regels code. Door de classificering zouden bedrijven met meer vertrouwen open source applicaties kunnen kiezen, zo laat Coverity weten.
Reacties (26)
09-01-2008, 10:16 door
Arno Nimus
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
daar héél anders over denken...
Door incompatible
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
Dat PHP vrij van isues is, betekent niet dat de in PHP geschreven meuk
dat ook is.
@incompatible
Dat is niet wat er bedoeld wordt.
(1) enkel de *ontdekte* veiligheidslekken zijn blijkbaar
gepatcht. Dit is dus eerder een beloning voor goede
reactiesnelheid (wat natuurlijk ook belangrijk is), niet
noodzakelijk voor goede kwaliteit.
(2) de kwalificatie slaat enkel op de code van het project
zelf. Er wordt m.i. totaal niet nagegaan of bv. PHP zich
gemakkelijk leent tot veilig programmeren (quod non).
Dat is niet wat er bedoeld wordt.
(1) enkel de *ontdekte* veiligheidslekken zijn blijkbaar
gepatcht. Dit is dus eerder een beloning voor goede
reactiesnelheid (wat natuurlijk ook belangrijk is), niet
noodzakelijk voor goede kwaliteit.
(2) de kwalificatie slaat enkel op de code van het project
zelf. Er wordt m.i. totaal niet nagegaan of bv. PHP zich
gemakkelijk leent tot veilig programmeren (quod non).
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
laat dit een les zijn voor onze linux en firefox fanboys
Dit is allemaal met een automated scan gedaan. Dat hun
produkt geen fouten meer vindt wil niet zeggen dat ze er
niet zijn. Bovendien zul je logica fouten al helemaal niet
geautomatiseerd kunnen ontdekken.
produkt geen fouten meer vindt wil niet zeggen dat ze er
niet zijn. Bovendien zul je logica fouten al helemaal niet
geautomatiseerd kunnen ontdekken.
Door Anoniem
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
Maar goed dat ze Windows / IE niet kunnen controlleren he ;), maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Ik zou eerst even de definities van de verschillende RUNG
levels controleren voor ze van hoog naar laag te
kwalificeren. Die levels hebben betrekking op de medewerking
van de beheerders van de OS projecten. In RUNG 1 staan
verschillende projecten met 0 defects/KLOC.
levels controleren voor ze van hoog naar laag te
kwalificeren. Die levels hebben betrekking op de medewerking
van de beheerders van de OS projecten. In RUNG 1 staan
verschillende projecten met 0 defects/KLOC.
09-01-2008, 11:27 door
SirDice
Het middelste niveau kent een aantal bekende open
source programma's zoals Linux, FreeBSD, Firefox, KDE,
OpenSSL, Subversion en Wireshark.
Programma's als Linux en FreeBSD? Freebsd is een compleet OSsource programma's zoals Linux, FreeBSD, Firefox, KDE,
OpenSSL, Subversion en Wireshark.
en met Linux wordt hier alleen de kernel bedoelt.
09-01-2008, 11:40 door
jeed
Door incompatible
Zozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
Er zit natuurlijk een groot verschil tussen PHP zelf en deZozo, PHP vrij van beveiligingsdefecten? Er zijn mensen die
daar héél anders over denken...
programma's die met PHP gemaakt worden.
Door Anoniem
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Weer iemand die alleen kan optellen. Lees eens het
oorspronkelijke persbericht. Daarin kun je lezen "Linux came
in with far fewer defects than average as did a number of
other open source projects. The version 2.6 of the Linux
kernel had a security bug rate of .127 per thousand lines of
code. " En dat een gemiddelde van 1 per duizend normaal is
voor commerciele software.
Door Anoniem
Weer iemand die alleen kan optellen. Lees eens het
oorspronkelijke persbericht. Daarin kun je lezen "Linux came
in with far fewer defects than average as did a number of
other open source projects. The version 2.6 of the Linux
kernel had a security bug rate of .127 per thousand lines of
code. " En dat een gemiddelde van 1 per duizend normaal is
voor commerciele software.
Door Anoniem
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Weer iemand die alleen kan optellen. Lees eens het
oorspronkelijke persbericht. Daarin kun je lezen "Linux came
in with far fewer defects than average as did a number of
other open source projects. The version 2.6 of the Linux
kernel had a security bug rate of .127 per thousand lines of
code. " En dat een gemiddelde van 1 per duizend normaal is
voor commerciele software.
Linux zit duidelijk barstens vol fouten. Dus wanneer de installed base
voldoende groot is, volgen virii vanzelf. 2008 word het jaar van de unix-
malware.
09-01-2008, 13:22 door
SirDice
Door Anoniem
Linux 2.6 + X.org + KDE + Firefox
Geinig.. Zo heb je niet eens een werkend systeem..Linux 2.6 + X.org + KDE + Firefox
Op zich een goed initiatief, maar ook ik verbaas mij over
een aantal dingen:
PHP, tuurlijk hoeft dat niet te betekenen dat alles wat in
PHP geschreven is automatisch 100% veilig is, maar voglens
mij kent PHP zelf ook wel de nodige problemen. Ik kan even
geen link vinden maar volgens mij was er zelfs een
ontwikkelaar die daarom bij PHP opgestapt was.
Ook wireshark zou ik niet zo hoog verwachten. Hoewel het
risico relatier klein is en de aanval over het algemeen
theoretisch is, worden er regelmatig security fouten
gevonden. Als je wireshark tegenwoordig als root opstart
krijg je om die reden al meteen een bericht dat je risico's
loopt.
een aantal dingen:
PHP, tuurlijk hoeft dat niet te betekenen dat alles wat in
PHP geschreven is automatisch 100% veilig is, maar voglens
mij kent PHP zelf ook wel de nodige problemen. Ik kan even
geen link vinden maar volgens mij was er zelfs een
ontwikkelaar die daarom bij PHP opgestapt was.
Ook wireshark zou ik niet zo hoog verwachten. Hoewel het
risico relatier klein is en de aanval over het algemeen
theoretisch is, worden er regelmatig security fouten
gevonden. Als je wireshark tegenwoordig als root opstart
krijg je om die reden al meteen een bericht dat je risico's
loopt.
unix malware?? denk niet dat er markt voor is aangezien
malware toch voornamelijk op de thuisgebruiker gericht is
vooruit dan maar weer.
Als je het artikel even doorleest dan snap je heel misschien
wel dat er geen 452 kritieken fouten in de code zitten
Denk als ze bij XP/Vista/IE zo een code audit doen dat je
dan op een veel hoger fouten/per regel uit komt.
malware toch voornamelijk op de thuisgebruiker gericht is
nderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
Geen flauw idee waar je hier mee naar toe wilt , maarLinux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
vooruit dan maar weer.
Als je het artikel even doorleest dan snap je heel misschien
wel dat er geen 452 kritieken fouten in de code zitten
Denk als ze bij XP/Vista/IE zo een code audit doen dat je
dan op een veel hoger fouten/per regel uit komt.
Door SirDice
Door Anoniem
Linux 2.6 + X.org + KDE + Firefox
Geinig.. Zo heb je niet eens een werkend systeem..Linux 2.6 + X.org + KDE + Firefox
Alle extra software welke benodigd is omwille van een werkend systeem,
zal nog meer fouten toe voegen. Dus je linux pc is zo lek als een zeef.
09-01-2008, 16:16 door
SirDice
Door Anoniem
Linux zit duidelijk barstens vol fouten. Dus wanneer de installed base voldoende groot is, volgen virii vanzelf. 2008 word het jaar van de unix- malware.
Een bug of een fout in de code wil nog niet zeggen dat het ook daadwerkelijk misbruikt kan worden. En, zoals ik wel vaker gezegd heb, zijn er geen bugs nodig, zie MyDoom, Netsky etc.Linux zit duidelijk barstens vol fouten. Dus wanneer de installed base voldoende groot is, volgen virii vanzelf. 2008 word het jaar van de unix- malware.
09-01-2008, 16:40 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
ssttttt zeg dat nou niet hard op. je onthuld zo nog het complot dat
microsoft en linux en mozilla met elkaar hebben afgesproken. Zo
komen andere mensen erachter dat die 3 bedrijven bewust fouten
maken om ons allen als slaven van het grote neme neme monster te
koppelen ;)
Gelukkig is dit onderzoek op verzoek van de fabrikanten en
bedoeld om de software veilig te maken.
ik hoop dan ook dat volgend jaar meer van deze Opensource
pakketten in rang 2 (kwalificatie veilig) zullen vallen.
Daar kan Microsoft nog wat van leren. Die draait het om, die
denkt eerst dat zijn software veilig is en gaat daarna pas
onderzoeken of dit ook klopt.
bedoeld om de software veilig te maken.
ik hoop dan ook dat volgend jaar meer van deze Opensource
pakketten in rang 2 (kwalificatie veilig) zullen vallen.
Daar kan Microsoft nog wat van leren. Die draait het om, die
denkt eerst dat zijn software veilig is en gaat daarna pas
onderzoeken of dit ook klopt.
cross/binutils
Unified GNU binutils for cross build environments
849,944
hoho, dat zijn wel erg veel fouten per 1000 voor een pakket
dat de meesten hebben staan
Unified GNU binutils for cross build environments
849,944
hoho, dat zijn wel erg veel fouten per 1000 voor een pakket
dat de meesten hebben staan
Door Anoniem
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Jazeker. Reken je even mee?Door Anoniem op woensdag 09 januari 2008 10:41
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
, maar Linux en Firefox zaten niet bij de winnaars.
laat dit een les zijn voor onze linux en firefox fanboys
Inderdaad, myth busted!
Linux 2.6 + X.org + KDE + Firefox
452 + 502 + 1554 + 370 = 2870 fouten
De veiligheid van linux enz. is gewoon een opgeklopt sprookje!
Windows XP heeft 50 miljoen regels code... 1 fout per 1000
regels, 50 miljoen delen door 1000 => 50 duizend defects. ;-)
Zullen we het nu over Vista hebben?
2008 word het jaar van de unix- malware.
Wedje leggen van niet voor een jaarsalaris.Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
10-01-2008, 10:46 door
Jozo
<offtopic>omg, wat een trollen hier weer</offtopic>
Ontopic: Wel goed nieuws, buiten het bekende feit dat
opensource software zeer veilig kan zijn is dit natuurlijk
altijd een opsteker.
Ontopic: Wel goed nieuws, buiten het bekende feit dat
opensource software zeer veilig kan zijn is dit natuurlijk
altijd een opsteker.
10-01-2008, 10:59 door
SirDice
Door Anoniem
Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
En waar baseer je dat op? 2008 word het jaar van de unix- malware.
Wedje leggen van niet voor een jaarsalaris.Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
Ook BSD is gevoelig voor domme acties van gebruikers.
Door SirDice
Ook BSD is gevoelig voor domme acties van gebruikers.
Ja natuurlijk maar dat is maar net wie je erachter zit. Bij een helpdesk ofzo Door Anoniem
Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
En waar baseer je dat op? 2008 word het jaar van de unix- malware.
Wedje leggen van niet voor een jaarsalaris.Als het aantal pcbsd gebruikers aan het einde van het jaar
groter is dan windhoos heeft iedereen veel minder last van
malware, spyware, virussen, lekke software en meer.
Ook BSD is gevoelig voor domme acties van gebruikers.
zul je vaker windows problemen tegenkomen dan dan linux. (Nee niet door
het percentage waar windows in de winnende hand is)
Nielsk
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
