`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

+1 за open source

+1111
голосов

Недавняя история с утечкой исходников ПО Symantec получила продолжение. И выглядит все более странной.

Первоначально сообщалось, что утечка произошла недавно. Теперь же говорится, что это, скорее всего, случилось еще в 2006 г. И на всякий случай уточняется, что с тех пор Symantec приняла ряд мер, чтобы исключить подобные инциденты. Не означает ли это, что утечка была не совсем секретом?

Далее, потенциально в опасности оказались пользователи не только антивирусов, но и pcAnywhere. Развитие этого продукта вроде бы прекращено, но, вполне вероятно, что им еще пользуются. Во всяком случае, Symantec предпочла очень оперативно выпустить заплатки для уязвимостей в механизмах шифрования и аутентификации. (Хотя общая рекомендация - временно вообще отказаться от использования pcAnywhere.)

Но неужели эти уязвимости внезапно обнаружились только сейчас? Очень похоже, что некоторое время они, по каким-то соображениям, просто оставались не исправленными. Вот по таким вот поводам обычно и возникают всякие легенды о бэкдорах и пр.

Для ПО с открытыми исходниками подобные подозрения и отсрочка, конечно, были бы невозможны в принципе. Обнаруженные уязвимости наверняка исправили бы при первой же возможности, независимо от убеждений конкретного вендора. Вот, пожалуй, одно из действительно очевидных преимуществ модели open source.

+1111
голосов

Напечатать Отправить другу

Читайте также

Игорь, не все так просто. Вот здесь, например, говорится о бреши, которую не замечали более 10 лет: http://www.expresscomputeronline.com/20030825/linuxspecial04.shtml

сам факт сосуществования различных подходов говорит, что картина не однозначна. но я имел в виду лишь то, что в open source любая проблема сразу же становится на виду, после обнаружения ее уже не "замолчишь".

Смотря, с какой стороны посмотреть. Злоумышленнику видна внутренняя структура программы, а он выбирает, какие уязвимости использовать проще всего.

А зачем много антивирусов с открытыми исходниками?
А в отношении Борланда вообще не понял. Then, in July 2000, Borland released its source code to the public. Within six months the serious security flaw was discovered, and CERT published the vulnerability as an advisory in January 2001. Про какие 10 лет речь?

Вы не там читаете. Ниже есть фраза "For instance, some of the recently discovered buffer overflow flaws in Kerberos, an open source security protocol used for authentication, remained concealed, or at least unobserved, for over ten years!"

Так. Не туди дивився. Хоча там ідеться про протокол. А помилка у протоколі це не зовсім помилка у програмі. Але я теж не вважаю відкритість панацеєю. Просто здивувався терміну у 10 років.

За многие годы у pcAnywhere выявили 7 уязвимостей. Последняя датированя январем 2012 и позицирнируется как moderate (3 из 5)

Для сравнения возьмите любой open source аналог в категории Remote Desktop & Remote Access по своему усмотрению и проверьте...

Я наугад проверил VNC - 53 уязвимости

так ведь главный вопрос не в том, сколько их находят, а - как быстро устраняют...

естественно скорость реакции имеет значение.

но, увы, этот аргумент никак не тождественен понятию open source.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT