hit counter
Ancora sulla presunta superiorità del software Open Source nella gestione delle vulnerabilità: un bug fossile e il lancio di oCERT - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Ancora sulla presunta superiorità del software Open Source nella gestione delle vulnerabilità: un bug fossile e il lancio di oCERT

Ancora sulla presunta superiorità del software Open Source nella gestione delle vulnerabilità: un bug fossile e il lancio di oCERT

  • Comments 2
  • Likes

Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti letti in questi giorni mi spingono a riprendere il tema del confronto sugli aspetti di sicurezza tra Windows e il software Open Source. Questi due articoli, a mio parere, confermano le considerazioni che ho fatto in un mio post recente (che ha ovviamente scatenato un picco di commenti...) in cui confutavo quello che continuo a sentire come uno dei motivi principali, se non addirittura l'unico motivo di chi proclama la presunta superiorità del software Open Source in area sicurezza: l'ispezionabilità del codice come garanzia di minori vulnerabilità. Scusatemi se mi cito da solo, avevo detto:

"...con tutto il  rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."

Eccovi i due articoli che supportano il mio punto di vista:

Developer reveals 25 year old software bug

A Swiss developer seems to have confounded the theory that open source software is the quickest to be patched, by revealing a bug in the BSD software distribution which has remained unpatched for at least 25 years. Advocates of open source software argue that because of the large number of people working on such projects, bugs are quicker to spot and patch. But developer Marc Balmer's efforts have seemingly proved the opposite. He reported the filesystem bug in his blog on Saturday. "Much to my surprise, I not only found this problem in all other BSDs or BSD-derived systems like Mac OS X, but also in very old BSD versions," Balmer wrote. "The bug has been around for roughly 25 years or more."

E' solo uno spunto per sorridere e riflettere: non sto dicendo che anche nella piattaforma Windows non vi siano bug fossili come questo, ma davvero, siamo tutti nella stessa barca...

Per strapparvi un altro sorriso: non mi venite a dire che lo sviluppatore ha segnalato questa scoperta perché sotto sotto è il cugino di Steve Ballmer visto il cognome che si ritrova...

Il secondo articolo è relativo al lancio dell'iniziativa oCERT (Open Source Computer Emergency Response Team):

Response team boosts open-source security

IT managers often assume that open-source software is more secure than proprietary commercial software. Anyone who uses open source can examine the original code to spot any lurking vulnerabilities, and potentially even fix the vulnerabilities themselves. With proprietary software, you have to trust the vendor to do it all for you. But open source's supposed security advantage assumes three things: 1) someone is actually looking at the code, 2) security vulnerabilities are getting reported and fixed, and 3) information about those fixes makes its way to Linux distributors and other software vendors, which apply the fixes to their products. But what things aren't happening? As a customer, how can you be sure?

Se si riconosce la necessità di una iniziativa come l'oCERT per consolidare centralmente le segnalazioni delle vulnerabilità e agevolare l'inserimento delle relative correzioni in tutte le possibili distribuzioni si sta implicitamente ammettendo che il processo di gestione delle vulnerabilità del modello collaborativo Open Source così come è ora non è poi così infallibile e garanzia di maggiore sicurezza...

Quindi, intanto sono benvenute le iniziative come l'oCERT che contribuiscono a migliorare i processi tipo SDL anche in ambito Open Source, e se qualcun altro mi parla di "many eyeballs lead to secure code"... lo prendo a morsi!

 

Share this post :
Comments
  • Oggi i bachi "scaduti" vanno molto di moda. Questo mi sembra molto più grave: http://aovestdipaperino.com/posts/tapiro-d-oro-maggio-2008.aspx

    (scusa l'autocitazione) ;-)

  • Ho avuto il piacere di essere ospitato ieri su Punto Informatico (che ringrazio per la disponibilità

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment