Zestien procent minder lekken in Open Source
Twee jaar geleden begon een door de Amerikaanse overheid gesponsorde jacht naar beveiligingslekken in Open Source software en sindsdien is het aantal kwetsbaarheden met 16% afgenomen. Van meer dan 250 Open Source projecten werd de code gecontroleerd, waaronder bekende programma's zoals Samba, Linux en OpenSSL. In totaal werden meer dan 55 miljoen regels code geanalyseerd en 8500 'defecten' verholpen.
Gemiddeld vonden de onderzoekers 283,49 defecten per project, wat neerkomt op 1 defect per 4000 regels code. In 2006 ging het nog om 1 defect per 3333 regels code. Eerder dit jaar wisten al 11 Open Source programma's een veiligheidsgarantie te halen. De meest voorkomende problemen zijn NULL Pointer Dereferences en resource lekken, bij elkaar goed voor meer dan de helft van alle gevonden problemen.
De onderzoekers willen niet stellen dat Open Source nu beter of slechter is dan commerciële software. "Uiteindelijk geloven we dat de meeste ontwikkelaars gewoon goede producten willen afleveren, omdat goede software net zo snel wordt gebruikt als men slecht software vermijdt en dumpt. Vanuit de industrie gezien, worden zowel Open Source als commerciële software steeds volwassener."
je een taal (i.s.m. framework) met garbage collection
gebruikt (C# bijvoorbeeld). Helaas is dat niet voor alle
software een optie.
beter of slechter is dan commerciële software."
Op basis hiervan kunnen ze dat ook niet: ze hebben namelijk
alleen de fouten onderzocht in Open Source software. Daar
komt bij dat de bronnen van Closed Source software vaak niet
in te zien zijn.
De conclusie dat zowel Open Source als commerciële software
steeds volwassener wordt vind ik dan ook misplaatst om
dezelfde reden: ze kunnen niet oordelen over closed source
software omdat ze daar de inhoud niet van gezien hebben.
open source principe?
Maar in open source zitten toch nooit lekken? Dat was toch
het effect van het
open source principe?
waar haal je dat nou weer vandaan
Maar in open source zitten toch nooit lekken? Dat was toch
het effect van het open source principe?
kracht van open source is onder andere peer-reviewing van de
broncode, met als effect dat het tot meer betrouwbare
producten leidt.
Wanneer 1 persoon iets maakt, zal daarvan 80% in orde zijn,
en zullen daar 20% aan fouten in zitten. Werkt er daarna
een 2e persoon aan, dan zal hij/zij van die 20%, 80% oplossen.
Hoe meer mensen er aan een projekt meewerken, hoe kleiner
dus de fout-marge.
Met commerciele software is het meestal zo, dat het zo
goedkoop mogelijk moet, en er dus ook niet alteveel
programmeerders aan het projekt meewerken.
Daarbij komt ook nog, dat de ene programmeerder een deel
oplost, en de ander weer een ander deel.
Daardoor zullen -volgens dir principe- de foutmarges bij
commerciele software veel hoger loggen, als bij open-source
software.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
