En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.
En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.
Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...
Aller plus loin
- Article in Zdnet (6 clics)
- L'étude (5 clics)
- Traduction de la conclusion (6 clics)
# Hum
Posté par Samuel Pajilewski . Évalué à -10.
Si Linux devient tres important, bcp vont se mettre a consulter les sources et il est clair que les decouvertes de faille vont tomber...
[^] # Re: Hum
Posté par Baptiste SIMON (site web personnel) . Évalué à -2.
Donc, ton "Si Linux devient tres important" est /dev/null et non avenu, sauf, si c'est un retour d'expérience d'il y a 10 ans et un constat de ce qui s'est passé depuis.
Je considère donc ton commentaire d'un autre âge (et oui, en info, 10 ans, c très long !!). Merci de les mettre à jour. ;c)
--
-1 car commentaire de commentaire...
[^] # Re: Hum
Posté par Babel . Évalué à -6.
[^] # Re: Hum
Posté par jerome . Évalué à 10.
# moralité:
Posté par kael . Évalué à 10.
[^] # Free Bug: oui mais
Posté par schyzomarijks . Évalué à 10.
Enfin, la question n'est pas de savoir si il y a des bugs (il y en a) mais de pouvoir les corrigés rapidement. (même après si le produit n'est plus maintenu par l'éditeur.)
# Grotesque
Posté par Def . Évalué à 10.
A noter que avec "The cathedral and the bazaar", il y a "Opening the Open Source Debate", de l'institution Alexis de Toqueville dans les références. Lequel à le plus marqué l'auteur ? :)
[^] # Un élément de réponse:
Posté par imr . Évalué à 10.
The Laboratory [de recherche informatique microsoft] is located in on the University West Cambridge site, on the outskirts of the city, near to the University of Cambridge Computer Laboratory with which there is a close partnership.
trés close et tout closed.
[^] # Re: Un élément de réponse:
Posté par Francois GUILLIER (site web personnel) . Évalué à 10.
(http://www.cl.cam.ac.uk/UoCCL/contacts/(...))
University of Cambridge
Computer Laboratory
William Gates Building
15 JJ Thomson Avenue
Cambridge CB3 0FD
UK
qui est entre parenthese un tres beau batiment mais comment dire du mal du genereux sponsor qui permet d'avoir un beau bureau! ;-)
[Bon moi je peux encore dire du mal parce que mon lieu de travail... c'est pas tout a fait ca !]
[^] # Re: Un élément de réponse:
Posté par TSelek . Évalué à 7.
[^] # Re: Un élément de réponse:
Posté par pasBill pasGates . Évalué à -2.
[^] # Arrete ton intox stp
Posté par TSelek . Évalué à 10.
[^] # Re: Arrete ton intox stp
Posté par pasBill pasGates . Évalué à -2.
[^] # Re: Un élément de réponse:
Posté par Francois GUILLIER (site web personnel) . Évalué à 0.
[^] # Re: Un élément de réponse:
Posté par Miod in the middle . Évalué à -3.
[^] # Re: Un élément de réponse:
Posté par Francois GUILLIER (site web personnel) . Évalué à -3.
[^] # Re: Un élément de réponse:
Posté par shbrol . Évalué à 0.
[^] # Re: Un élément de réponse:
Posté par imr . Évalué à -1.
[^] # Chercheur respecté
Posté par Foxy (site web personnel) . Évalué à 8.
[^] # Re: Chercheur respecté
Posté par p f . Évalué à 0.
[^] # Re: Chercheur respecté
Posté par imr . Évalué à 5.
[^] # Re: Chercheur respecté : tu m'étonnes !!!
Posté par pappy (site web personnel) . Évalué à 10.
[^] # Re: Chercheur respecté : tu m'étonnes !!!
Posté par Def . Évalué à 3.
[^] # Re: Chercheur respecté !!
Posté par Jul (site web personnel) . Évalué à 2.
# A un détail près
Posté par jcs (site web personnel) . Évalué à 10.
Et en outre, l'open-source a d'autres avantages que la sécurité des logiciels : entre autre un petit truc à peine important qu'on appelle la liberté.
[^] # Re: A un détail près
Posté par anonyme512 . Évalué à 7.
[^] # Re: A un détail près
Posté par Laurent Guédon . Évalué à -1.
[^] # Auchan avec les LL ?
Posté par Neo Futur (site web personnel) . Évalué à 0.
"You have enemies? Good. That means you've stood up for something in your life." Winston Churchill
[^] # Re: Auchan avec les LL ?
Posté par Guillaume ZITTA . Évalué à 1.
-L'informatique c'est simple, c'est l'homme qui est compliqué-
# News à trolls...
Posté par malachite . Évalué à 4.
[^] # Re: News à trolls...
Posté par Sébastien Koechlin . Évalué à 10.
* Il est difficile d'implémenter une backdoor lorsque les sources sont publiés, n'importe qui peut tomber dessus. Dans du logiciel closed source, cette entrée dérobée peut vivre des dizaines d'années, comme ça a été le cas dans une certaine base de donnée
* Lorsqu'un bug est découvert, le correctif peut être écrit par n'importe qui maitrisant le langage utilisé et le cadre de l'application, dans la pratique, les trous sont souvent fermé en un ou deux jours, parfois la personne qui trouve le trou publie en même temps de correctif. Lorsqu'on a un logiciel fermé, seul l'éditeur de l'application peut produire un patch, et il lui faut généralement bien plus de temps. Il suffit de lire bugtrack pour se rendre compte que ça prends parfois des mois, certains sont si exaspéré par les délais ou l'absence de réponse des éditeurs, qu'ils finissent par publier le trou pour forcer l'éditeur à corriger.
Le bilan est que le trou est valable quelques jours en open-source, et quelques semaines en closed-source.
[^] # Re: News à trolls...
Posté par Jul (site web personnel) . Évalué à 2.
# Code ouvert = code simple et propre
Posté par Jerome . Évalué à -4.
Les commentaires sont plus nombreux, plus pertinents.
Y'a qu'a voir la gueule d'une chambre d'informatitien : c'est un vrai bordel (espace proprio)
Alors que son site ou son ftp ou même son disque dur : c'est rangé, ça trouve ce qu'on veut en peu de temps (espace libre et partagé)
[^] # Re: Code ouvert = code simple et propre
Posté par Ronan BARZIC . Évalué à 0.
[^] # Re: Code ouvert = code simple et propre
Posté par ldng . Évalué à 0.
[^] # Re: Code ouvert = code simple et propre
Posté par Jerome . Évalué à 2.
[^] # Re: Code ouvert = code simple et propre
Posté par François Petitjean . Évalué à 0.
il y a aussi des projets propriétaires où c'est vraiment n'importe quoi. On s'en aperçoit lorsqu'ils passent à l'occasion sous licence libre.
Par exemple, si on jette un oeil sur n'importe quel fichier source de http://opencascade.org(...) on voit tout de suite que tout est imbriqué dans un sac de noeuds invraisemblable, écrit dans un dialecte spécial de C++ utilisant un système de macros (évidemment les templates n'existaient peut-être pas à l'époque, maintenant, il n'y a plus qu'à tout réécrire).
Donc, ce n'est pas parce-qu'un logiciel est propriétaire et donc écrit par des professionnels que la qualité est au rendez-vous. D'ailleurs sur mon PC au boulot (une antiquité Pentium Pro 200Mhz) simplement installer les sources a pris trois quarts d'heure, et je vous souhaite bon courage si vous voulez simplement voir l'évolution des fichiers "headers" (répertoire inc) en utilisant l'interface cvsweb. Il y a tant de fichiers (douze treize mille, une paille) que je n'y suis jamais arrivé.
De même on retrouve des usines à gaz ingérables venant de chez IBM (ICU) et je ne suis pas étonné que Eclipse (54Mo d'après une autre nouvelle!) ne soit pas accompagné d'un README donnant les quelques pièges de l'installation de base.
# Ca gaze pas
Posté par Benoît Bailleux (Mastodon) . Évalué à 7.
- je ne comprends pas l'amalgame entre sécurité et stabilité :
En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
- [...] il affirme que, mathématiquement, les programmes en sources ouvertes seraient aussi sûrs que les systèmes dont les sources sont fermées; sous entendu : ils étaient considérés moins sûrs jusque là ! Bizarre.
- nous nous attendons à ce que les programmes ouverts et fermés évoluent tous vers plus de fiabilité : il est payé combien pour trouver une telle revélation ?
[^] # Re: Ca gaze pas
Posté par p f . Évalué à 3.
ça en devient presque drôle. 13 pages pour en arriver là, y'en a qui savent vraiment pas quoi faire de leur temps.
[^] # Re: Ca gaze pas
Posté par Moby-Dik . Évalué à -2.
# Bug = insecurite ?
Posté par Yann Cochard (site web personnel) . Évalué à 10.
A la lecture de l'article, j'ai l'impression que ce chercheur confond instabilite et securite. Il dit avoir mesure au bout de combien de temps un logiciel plante, qu'il soit libre ou proprio. Et ces temps seraient a peu pres egaux (d'apres lui). Soit, admettons.
Mais la ou c'est fort, c'est qu'il en conclu que le niveau de securite des logiciels libres et proprios est donc equivalent. Ca ne vous choque pas ?
Prenons un exemple : Mozilla et IE.
IE plante, ok. Mozilla plante aussi, ok. S'ils plantent autant l'un que l'autre, peut-on en conclure qu'ils mettent en peril la securite du systeme avec la meme importance ? Voyons, un peu de serieux.
Moi aussi je peux conclure de chouettes choses : IE et Mozilla mettent autant de temps a planter, donc les programmeurs qui les ont concu mangent autant de pizzas les uns que les autres.
;-)))
Yann.
PS : Je n'ai indique que Mozilla plantait aussi souvent que IE uniquement pour le raisonnement, en fait je n'en sais absolument rien.
[^] # Re: Bug = insecurite ?
Posté par William Steve Applegate (site web personnel) . Évalué à 10.
Envoyé depuis mon PDP 11/70
# Oh, un troll !
Posté par Jar Jar Binks (site web personnel) . Évalué à -1.
# Message aux modérateurs du schtroumpf à lunettes
Posté par Tal . Évalué à -1.
[^] # Re: Message aux modérateurs du schtroumpf à lunettes
Posté par lhardy philippe (site web personnel, Mastodon) . Évalué à -3.
[^] # Re: Message aux modérateurs du schtroumpf à lunettes
Posté par Tal . Évalué à -2.
# Une seule chose à dire
Posté par Jerome Herman . Évalué à -5.
[^] # non pas du tout, efface
Posté par falbala . Évalué à -2.
# Si j'ai bien compris ..
Posté par Dais Starry . Évalué à -3.
# Il y a sécu et sécu
Posté par Laurent Guédon . Évalué à 4.
# Méthode par l'absurde, absurdité de l'article.
Posté par Code34 (site web personnel) . Évalué à -2.
# Qui a lu cet article ? (lien vers la conlusion en Français)
Posté par pappy (site web personnel) . Évalué à 10.
[^] # Re: Qui a lu cet article ? (lien vers la conlusion en Français)
Posté par Code34 (site web personnel) . Évalué à 1.
[^] # Tu crois vraiment à tout ce que tu as écrit là ???
Posté par pappy (site web personnel) . Évalué à 2.
[^] # Re: Tu crois vraiment à tout ce que tu as écrit là ???
Posté par Code34 (site web personnel) . Évalué à 0.
Tu n'as pas compris. Avant que l'on parle de fonctionnalités, il y a une multitude d'étapes, qui ne sont pas du ressort du développeur. Je pense notamment aux études de besoins, faisabilité, démarche commerciales etc [..]
Le mythe de la caverne illustre parfaitement cette article, ou l'auteur a tenté d'expliquer de façon rationnelle, un phénomène qui ne le concerne pas, dont la cause lui échappe.
Celui ci n'est qu'un maître d'oeuvre, il execute ce qu'on lui demande, et le fait au mieux. Il va donc différencier le propriétaire, du logiciel source ouverte d'un oeil critique et technique. Alors que la solution à son problême est extérieur au domaine qu'il étudie. C'est d'ailleurs pour ça qu'il conclue de façon vaseuse.
On ne peut pas juger de la qualité, fiabilité d'un programme du fait qu'il soit Open Source, ou propriétaire.
"les logiciels proprio sont perrisables : eux aussi, ils suivent des évolutions, des refontes avec des personnes qui travaillent sur une version, puis partent du projet, qui est alors repris en main par qq1 d'autre."
Oui tu décris le cycle de vie d'un produit qui se mesure sur une échelle à deux références (le temps, les ventes) [..] Un produit est par définition pérrissable, il traverse durant sa vie 4 phases:
lancement (peu de vente), croissance(bcp de vente, bcp de profit), maturité(les ventes stagnent), déclin(les ventes diminuent)
Il est possible que durant la phase de déclin, on fasse une refonte du produit pour le relancer.
Le programme propriétaire est soumis à ces cycles, tout comme n'importe quel produit. Lorsqu'il n'y a plus de ventes, le programme n'a plus de raison d'être commercialisé, amélioré, produit, développé etc [..]. Sous license, et compilé le programme meurt. Je pense que de nombreux systèmes d'exploitations peuvent illustrer ces propos.
Un programme peut être très fonctionnel sans pour autant faire de ventes, ce qui peut lui aussi l'amener à disparaitre. Prenons beos comme exemple [..] Beos est maintenant développé en Open Source, car le programme qui apporte de nombreuses fonctionnalités ne devait pas selon ses utilisateur disparaitre (comme un produit perrissable).
pour un "projet libre" qui fonctionne, combien y en a-t-il qui meurent ?
Economiquement parlant, le logiciel libre ne peut pas être considéré comme un produit. Son cycle de vie n'est pas dépendant des ventes, du temps, ni de l'économie d'échelle.
Le code source peut être réutilisé dans n'importe quel projet, sans l'accord des propriétaires tout en respectant la license, sans être conditionné par les ventes et le temps.
La mort d'un logiciel libre s'illustre par la disparition de son code source, et non pas par le fait que personne ne l'achète, ne l'utilise, ou le développe. Sinon, on aurait pu annoncer que "Le Hurd" était mort avant 1998.
Il y a donc une véritable révolution économique, qui est en route, ou d'un côté les grands de l'industrie informatique vendent des produits pérrissables normalisés(non réutilisables) en faisant mirroiter le spectre de l'insécurité pour pouvoir vendre leurs prochains produits (plus performant, plus sécurisé), et de l'autre des programmes libres non perrissables (et réutilisable) qui tendent à s'ameliorer par la volonté des contributeurs de modeler le programme à leurs besoins.
Une personne peut très bien considéré que la sécurité du programme n'est pas une priorité dans l'utilisation de son programme. Que ce programme dans 20 ans doit toujours être la, et qu'on puisse le faire évoluer.
@+
Code34
[^] # Re: Tu crois vraiment à tout ce que tu as écrit là ???
Posté par pappy (site web personnel) . Évalué à 0.
Alors puisque tu sembles attacher à Platon, je vais te libérer de tes chaînes (mais rien de plus car ton âme doit s'élever par ta volonté) : il existe d'autres types de logiciels propriétaires (si, si :-)
Tu te leurres car les seuls logiciels proprio que tu voies sont ceux disponibles dans les rayonnages das grands magasins. Mais tous les jours, des centaines d'autres évoluent. Et ils évoluent tant qu'ils correspondent à un besoin, à un désir (pour revenir sur Platon :)
La mort d'un logiciel libre s'illustre par la disparition de son code source, et non pas par le fait que personne ne l'achète, ne l'utilise, ou le développe. Sinon, on aurait pu annoncer que "Le Hurd" était mort avant 1998.
C'est très poétique, pour ne pas dire grandiloquent, mais je ne suis pas du tout d'accord avec ça.
si on suit ton raisonnement, on peut considérer que les logiciels open source sont immortels ? Super ! La première distribution Linux dont je me suis servi était une slackware 0.99 ... et je suis bien content que les choses aient évoluées. Je dotue que personne ne se serve encore ne serait-ce que du kernel de cette distribution...
Il y a donc une véritable révolution économique, qui est en route, ... à s'ameliorer par la volonté des contributeurs de modeler le programme à leurs besoins.
Ca, c'est grandiloquent !!!
Parce que tu crois que le grand capital (le logiciel propriétaire) réussi à fournir à tout le monde ses produits, même si ceux-ci ne correspondent pas à des besoins ? Certes, ça arrive, par exemple avec la course au matériel toujours plus performant pour les neuneu qui veulent avoir la dernière carte graphique 256bits avec 512Mo de mémoire et qui fait le café. Ou encore avec le téléphone portable dont pratiquement personne n'a réellement besoin.
Mais tu oublies par exemple le boulot des SSII dont le travail est complètement inverse. Un client vient les voir, dit "j'ai besoin d'un logiciel qui fait ça et ça", et la SSII le développe (attention, ceci n'est certainement pas une apologie des SSIIs).
[^] # Re: Tu crois vraiment à tout ce que tu as écrit là ???
Posté par Code34 (site web personnel) . Évalué à -1.
Non, je ne me leurre pas. J'ai travaillé moi même en SSii, sur un programme propriétaire sur un système spécifique (prologue). Ce programme est vendu à une minorité de clients, et répond à une demande très spécifique. Si la boite meurt, le programme meurt aussi. Il y a des parades contre ce genre de prôblemes: le décompilateur, mais on ne parle plus alors de droits d'auteurs, de copyright, et la notion de propriétaire perd tout son sens etc [..]
Je dotue que personne ne se serve encore ne serait-ce que du kernel de cette distribution...
Et bien, c'est assez marrant que tu dises ça, car j'ai choppé la semaine dernière sur le ftp de kernel.org, la première version de Linux supporté par Minix. Je souhaitais regarder le fonctionnement du source qui a motivé autant de contributeurs.
ftp://ftp.kernel.org/pub/linux/kernel/Historic/(...)
Mais tu oublies par exemple le boulot des SSII dont le travail est complètement inverse. Un client vient les voir, dit "j'ai besoin d'un logiciel qui fait ça et ça", et la SSII le développe (attention, ceci n'est certainement pas une apologie des SSIIs).
Oui ça correspond à la description du cycle de vie d'un produit. Quand il y a des ventes, il y a un produit. Quand il n'y a pas de ventes, le produit est mort.
@+
Code34
[^] # [HS] Traduction
Posté par Def . Évalué à 5.
[^] # Re: [HS] Traduction
Posté par pappy (site web personnel) . Évalué à 5.
[^] # Re: [HS] Traduction
Posté par vazco . Évalué à 1.
Cela étant, j'avoue avoir la flemme de lire l'article complet qui me fait tout l'air d'enfoncer des portes ouvertes : ça vaut vraiment le coup ?
PS : on pourrait traduire plus élégamment it is anything but par il n'en est rien, mais je chipote...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.