The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Linux Foundation вводит систему оценки качества, безопасност..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от opennews (??) on 05-Май-16, 11:45 
Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал (http://www.linuxfoundation.org/news-media/announcements/2016...) инициативу Best Practices Badge Program (https://bestpractices.coreinfrastructure.org/) для стимулирования повышения безопасности свободных проектов.


В рамках инициативы сформирован набор критериев, составленных с учётом опыта наиболее серьёзно относящихся к безопасности сообществ. Список включает 74 критерия (https://github.com/linuxfoundation/cii-best-practices-badge/...), разделённых по степени важности (обязательные, желательные и рекомендуемые). Выполнение критериев позволяет судить о серьёзном отношении проектов к безопасности, обеспечению качества и поддержанию стабильности кодовой базы.


На базе данных критериев запущена программа сертификации соответствия проектов требованиям качества, безопасности и стабильности. Прошедшие сертификацию проекты получают право размещения на сайте специального знака качества, сигнализирующего о серьёзном отношении разработчиков к безопасности. В настоящее время заявки на проведение проверки сформированы для 114 проектов (https://bestpractices.coreinfrastructure.org/projects). Успешно прошли проверку 8 проектов, среди которых Curl, GitLab, ядро Linux, OpenBlox, OpenSSL, Node.js и Zephyr. Три проекта признаны не соответствующими критериям (pkgsrc (https://bestpractices.coreinfrastructure.org/projects/112) - нестандартная лицензия, container-tools (https://bestpractices.coreinfrastructure.org/projects/114) - сайт без HTTPS, byobu (https://bestpractices.coreinfrastructure.org/projects/41) - сайт без HTTPS c TLS). Остальные проекты находятся на стадии проверки.

Ключевые требования (https://github.com/linuxfoundation/cii-best-practices-badge/...) к проектам:

-  Доступный по постоянному адресу web-сайт, на котором описано назначение проекта, ссылки для загрузки, имеется возможность отправки отзыва разработчикам и доступна инструкция по подключению к разработке/отправке изменений;
-  Использование типовой свободной лицензии и размещение информации о лицензии в файлах LICENSE или COPYING;
-  Поддержка HTTPS на сайте;
-  Наличие документации, описывающей установку и запуск, а также наличие спецификации для API;-  Доступность кода через распределённые системы контроля версий и возможность оценки изменений между релизами. -  Присвоение каждому выпуску уникального номера версии в формате семантического версионирования. -  Наличие списка изменений, в котором явно выделены исправленные уязвимости.
-  Предоставление средства для отправки разработчикам сообщений об ошибках и отслеживания их исправления. Доступ к архиву сообщений о проблемах. Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения, без игнорирования.-  Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;
-  Возможность сборки с использованием штатных открытых инструментов. Возможность включения сборки в режиме вывода предупреждений компилятором и компоновщиком. Возможность запуска статических анализаторов кода;
-  Наличие автоматизированного тестового набора, покрывающего большую часть функциональности проекта. Добавление новых тестов для нового кода;
-  Автоматизированный запуск тестов для всех изменений и применение динамических проверок с использованием анализаторов пдодобных Valgrind, систем fuzzing-тестирования и сканеров безопасности;
-  Знание разработчиками методов безопасного программирования и типовых ошибок, приводящих к уязвимостям;-  В случае наличия поддержки шифрования применение публичных протоколов и алгоритмов, задействование уже готовых проверенных и открытых реализаций, использование ключей надлежащей длины, отказ от поддержки проблемных и уязвимых алгоритмов, использование алгоритмов с Forward secrecy (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy), хранение любых паролей в форме хэшей с солью, применение надёжных генераторов случайных чисел.

URL: http://www.linuxfoundation.org/news-media/announcements/2016...
Новость: http://www.opennet.ru/opennews/art.shtml?num=44378

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Linux Foundation вводит систему оценки качества, безопасност..."  +8 +/
Сообщение от Аноним (??) on 05-Май-16, 11:45 
Скажите, как эту сертификацию могли пройти ядро, официально не отделяющее уязвимости от обычных ошибок, и Node.js не выделяющий уязвимости в V8?
В свете этого: "The release notes MUST identify every publicly known vulnerability that is fixed in each new release". У GitLab тоже не всё гладко.

Если покликать на результатах становится ясно, что прошедшие тест проверялись формально только по десятку самых простых признаков типа HTTPS на сайте и нормальная лицензия.  42 критерия со статусом MUST никто не анализировал.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Linux Foundation вводит систему оценки качества, безопасност..."  +3 +/
Сообщение от IMHO on 05-Май-16, 11:48 
Тихо LF не хочет ссорится с теми кто их спонсирует
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Linux Foundation вводит систему оценки качества, безопасност..."  +4 +/
Сообщение от Аноним (??) on 05-Май-16, 12:12 
"Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал"


Кто на ком стоял? ©

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Linux Foundation вводит систему оценки качества, безопасност..."  –1 +/
Сообщение от Аноним (??) on 05-Май-16, 12:13 
> Наличие безопасного и документированного процесса отправке уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;

Шо.. неужели ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Linux Foundation вводит систему оценки качества, безопасност..."  –4 +/
Сообщение от Аноним (??) on 05-Май-16, 12:39 
возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками, можно поднять бобла на сертификации и аттестации, как у настоящих бизнесменов
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Andrey Mitrofanov on 05-Май-16, 13:07 
>>должна быть устранена не более чем за 60 дней;
> Шо.. неужели ?

Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это наклеечку!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Linux Foundation вводит систему оценки качества, безопасност..."  –5 +/
Сообщение от Аноним (??) on 05-Май-16, 13:26 
Надо было приписать, чтобы в HTTPS использовалась правильная SSL либа, а не левый OpenSSL...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Linux Foundation вводит систему оценки качества, безопасност..."  +2 +/
Сообщение от Нанобот (ok) on 05-Май-16, 13:43 
да ладно. наличие метрик лучше отсутствия метрик.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Linux Foundation вводит систему оценки качества, безопасност..."  +1 +/
Сообщение от cmp (ok) on 05-Май-16, 13:45 
чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не соответсвуют.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Вареник on 05-Май-16, 16:13 
Резюме последних инициатив GNU:

"Не хочу писать код. Хочу рукой водить, каждую неделю устраивать конкурсы и быть в них жюри. Хочу оценивать сайты по степени продвижения ими моего фонда. Хочу судить проекты, независимо от того что они не с моей лицензией. СПО - это Я".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Linux Foundation вводит систему оценки качества, безопасност..."  +1 +/
Сообщение от Вареник on 05-Май-16, 16:16 
Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Модификатор on 05-Май-16, 16:17 
> "Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative,
> в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения
> поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
> анонсировал"
> Кто на ком стоял? ©

Да там перлы щедро насыпаны:

"Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения"

Родительный падеж:  Кого, чего?
Чего запросов? Где остальной кусок смысла?
Если "Реакция на", то "Реакция на запросЫ", а не "запросов".

Кто на ком стоял? ©

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Модификатор on 05-Май-16, 16:19 
> Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться
> OpenSource. Лоббирование юридического термина "нелицензионное СПО" :)

Вот только вслух не надо.
Они же читают!

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Linux Foundation вводит систему оценки качества, безопасност..."  +3 +/
Сообщение от Модификатор on 05-Май-16, 16:19 
"Великая могучая русскава языка" (С)


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Linux Foundation вводит систему оценки качества, безопасност..."  +2 +/
Сообщение от Andrey Mitrofanov on 05-Май-16, 16:32 
> Резюме последних инициатив GNU:

Вы темой ошиблись. Здесь про хороводы за мзду с капрофагами.
   Вы спутали GNU и FSF.
      Вы не в курсе более ранних инициатив FSF, почему? 30+ лет истории ждут.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Linux Foundation вводит систему оценки качества, безопасност..."  –1 +/
Сообщение от Аноним (??) on 05-Май-16, 17:51 
Ожидаем сертифицированные уязвимости
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Linux Foundation вводит систему оценки качества, безопасност..."  –1 +/
Сообщение от Аноним (??) on 05-Май-16, 18:16 
Ни gcc, ни emacs в списке нет. Не говоря уж о всяких cp, mv и прочих rm...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Linux Foundation вводит систему оценки качества, безопасност..."  –2 +/
Сообщение от bOOster (ok) on 05-Май-16, 18:30 
Капец, а GNUшники читать то умеют? Судя по поддержке POSIX наврядли….
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Linux Foundation вводит систему оценки качества, безопасност..."  –1 +/
Сообщение от Аноним (??) on 05-Май-16, 19:42 
Это не гнушники, это совершенно левые жлобы, ничего полезного не сделавшие для опенсорца. Посмотри на их членов.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Led (ok) on 05-Май-16, 21:17 
> возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками

А что делать: специалистов днём-с-огнём не сыщешь, а всяких оценщиков и прочих пэхапе-гвидобейско-г-кодеров - как собак не резаных. Надо же их чем-то занять?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Аноним (??) on 05-Май-16, 22:48 
ЕГЭ улучшение было есть реформа образование!
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Linux Foundation вводит систему оценки качества, безопасност..."  +1 +/
Сообщение от Аноним (??) on 05-Май-16, 22:55 
вот и альтернативно-одаренные подтянулись! дефективный менеджер, не иначе
в чем предлагается измерять качество, безопасность и стабильность?
нам же метрология не нужна, так?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "Linux Foundation вводит систему оценки качества, безопасност..."  +5 +/
Сообщение от Аноним (??) on 06-Май-16, 00:26 
> "Великая могучая русскава языка" (С)

Ниправильна!

В худой котомк поклав ржаное хлебо,
Я ухожу туда, где птичья звон,
Я вижу над собою синий небо,
Косматый облак и высокий крон.
Я дома здесь. Я здесь пришел не в гости.
Снимаю кепк, одетый набекрень.
Веселый птичк, помахивая хвостик,
Высвистывает мой стихотворень.
Зеленый травк ложится под ногами,
И сам к бумаге тянется рука,
И я шепчу дрожащие губами:
«Велик могучим русский языка!»

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Аноним (??) on 06-Май-16, 00:28 
> чета "правильных" либ в списке нет, а openssl есть, видимо "правильные" не
> соответсвуют.

Видимо, решили не участвовать в этой клоунаде. Более чем уверен, например, что LibreSSL точно не захочет. А то вот прямо уже прямо вижу Боба Бека, рвущегося получить ярлычок от Linux Foundation, что он чему-то там соответствует...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Linux Foundation вводит систему оценки качества, безопасност..."  +1 +/
Сообщение от cmp (ok) on 06-Май-16, 01:31 
Да ну конечно, боб бек наше все куда уж до него смертным.

А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и будете дальше вариться, пока не помрете, что никто даже не заметит. Право ваше.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Linux Foundation вводит систему оценки качества, безопасност..."  +4 +/
Сообщение от бедный буратино (ok) on 06-Май-16, 05:14 
причём здесь GNU?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

36. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Аноним (??) on 06-Май-16, 11:28 
Ценой лицензий/поддержки?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Аноним (??) on 06-Май-16, 20:48 
> Да ну конечно, боб бек наше все куда уж до него смертным.  
> А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у
> вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь
> отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и
> будете дальше вариться, пока не помрете, что никто даже не заметит.
> Право ваше.

Вы забыли добавить собственно про домкрат.[1]

К чему ваш комментарий — вообще не понятно. Я написал, зная (немного) характер Боба. Который (вам не интересно, я помню, поэтому не читайте... не читайте, говорю!) является одним из создателей LibreSSL и одним из корневых разработчиков OpenBSD, ответственным, в том числе, за часть инфраструктуры проекта. Но вам, видимо, достаточно что-то где-то слышать только про Тео, а остальные недостойны упоминания в анналах истории.

Спасибо за ваш звонок, мы обязательно учтём ваше мнение в следующей жизни.

----

[1] http://www.razlib.ru/psihologija/70_osnovnyh_psihologicheski...

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Аноним (??) on 06-Май-16, 21:01 
> Посмотри на их членов

Уверен, что там ни один не стоит.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Анончег on 06-Май-16, 22:12 
Тень сам знаешь кого не очень-то одобряет такие разговорчики, товарищ... пока ещё товарищ.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

41. "Linux Foundation вводит систему оценки качества, безопасност..."  +/
Сообщение от Анончег on 06-Май-16, 22:15 
> Да, обязательно. И все, кто занёс в комитет фундейшена получит подтверджающую это
> наклеечку!

"Поверед бу фаундэйшын" - точно, Митрофаныч, тут ты прав.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру