Le ministère de l'intérieur états-unien compte verser 1,24 millions de dollars en trois ans à l'université de Stanford et aux sociétés Coverity et Symantec pour auditer le code de logiciels libres parmi lesquels Apache, Bind, Firefox, FreeBSD, Gaim, Linux, mplayer, MySQL, OpenBSD, OpenSSH, OpenSSL, QT, Samba et xpdf (liste dans la dépêche c|net [2]).
On ne peut qu'espérer que cette initiative aura plus de succès que le défunt Sardonix [6].
D'après des commentaires sur le blog de Schneier [5], des employés de Coverty contribuent déjà depuis un moment à OpenBSD et FreeBSD.
Pendant ce temps, à Redmond [7].
[0] http://www.eweek.com/article2/0,1895,1909946,00.asp
[1] http://news.zdnet.com/2100-1009_22-6025579.html
[2] http://news.com.com/Homeland+Security+helps+secure+open-sour(...)
[3] http://it.slashdot.org/article.pl?sid=06/01/11/061232
[4] http://www.pcinpact.com/actu/news/25973-Des-subventions-pour(...)
[5] http://www.schneier.com/blog/archives/2006/01/dhs_funding_op(...)
[6] http://web.archive.org/web/20050305073434/http://sardonix.or(...)
[7] http://interviews.slashdot.org/comments.pl?sid=174307&ci(...)
Journal Le gouvernement US paie l'audit de projets libres
18
jan.
2006
# Pourquoi une tel somme...?
Posté par kowalsky . Évalué à -8.
Through its Science and Technology Directorate, the department has given $1.24 million in funding to Stanford University, Coverity and Symantec to hunt for security bugs in open-source software and to improve Coverity's commercial tool for source code analysis, representatives for the three grant recipients told CNET News.com.
Est-ce que ces projets ne sont pas asser "secure" aux
du ministere americain de l'interieur...?
Et pourquoi ce mode de fonctionnement...?
to improve Coverity's commercial tool for source code analysis,
Est-ce que cette demarche a un but securitaire ou lucrative...?
Le projet me semble ambitieux en tout cas...
Il vont auditer le code de... Linux...!
rien que ça... ah nan, FreeBSD aussi, et OpenBSD...
Linux, je veux bien, c'est pas trop trop volumineux...
Mais les BSD (au passage, NetBSD est tellement secure qu'il a
pas besoin d'etre audité...!), c'est un peu plus "gros" que linux...
Ils vont auditer les kernels BSD, ou les "distrib" BSD, userland compris...?
Et pis la liste est "rigolote" OpenSSH et... xpdf...
Une applications strategique, et une autre, pas anodine, mais pas
strategique.
Mais le pire, qui va faire des vagues:
KDE
Mais pas gnome.
Plus serieusement, je vois pas ça bien, surtout quand:
Symantec will provide security intelligence and test the source code analysis tool in its proprietary software environment, said Brian Witten, the director of government research at the Cupertino, Calif., security software vendor.
est-ce que c'est possible de breveté un "security fix"...?
Parce que ça va se finir comme ça...
Et pis de toute façon l'argent aurait été mieux depensé si ne serait-ce
que 10% allait au projet en question, qui sont tous de toute façon
des projet serieux qui audit leur code eux même à travers different
system de Release Candidat, et surtout, c'est le plus important, on un
souci constant de qualité/securité, qui n'empeche pas les failles ou bug, mais
limite grandement les degats.
Derniere questions, est-ce que les travaux vont etre realisé conjointement
avec les projets en questions...?
The project, while generally welcomed, has come in for some criticism from the open-source community. The bug database should help make open-source software more secure, but in a roundabout way, said Ben Laurie, a director of the Apache Foundation who is also involved with OpenSSL. A more direct way would be to provide the code analysis tools to the open-source developers themselves, he said.
"It is regrettable that DHS has decided once more to ensure that private enterprise profits from the funding, while the open-source developers are left to beg for the scraps from the table," he said. "Why does the DHS think it is worthwhile to pay for bugs to be found, but has made no provision to pay for them to be fixed?"
The Department of Homeland Security could not immediately comment.
Pour ceux qui ne comprennent pas l'anglais, ça dit:
Circulé, y a rien à voir, vous avez bossé pendant des année pour
pondre ces logiciels qui ont de l'avenir, laissé nous nous les
approprier doucement...
[^] # Re: Pourquoi une tel somme...?
Posté par SR91 . Évalué à 10.
[^] # Re: Pourquoi une tel somme...?
Posté par Sylvain Briole (site web personnel) . Évalué à 5.
(désolé pour la cédille, mais clavier germanique)
[^] # Re: Pourquoi une tel somme...?
Posté par med . Évalué à 1.
Touche de composition puis , puis c → ç ;)
[^] # Re: Pourquoi une tel somme...?
Posté par Victor STINNER (site web personnel) . Évalué à 3.
J'ai fait une petite liste pour ceux que ça intéresse :
http://www.haypocalc.com/wiki/Touche_compose
C'est vraiment une fonctionnalité de X génialissime ! Je préfère taper « compose < < » plutôt que AltGr+"touche qui veut rien dire". Un autre que j'aime bien : « compose l / » donne ł ... c'est vraiment génial d'y avoir pensé !
Par contre, Ubuntu (KDE?) ne charge plus mon fichier ~/.Xmodmap, il faut que je le fasse à la main :-(
Haypo
[^] # Re: Pourquoi une tel somme...?
Posté par med . Évalué à 1.
Euh ... c'est exactement ce que j'ai écrit tu sais (bon, d'accord, j'ai dit « compose , c », mais ça revient au même). :) le → c'est tout simplement la flèche pointant à droite (→ en entité HTML) pour indiquer quelle lettre ça donnait.
[^] # Re: Pourquoi une tel somme...?
Posté par gc (site web personnel) . Évalué à 2.
Pour la configuration tu peux tout simplement mettre
Option "XkbOptions" "compose:menu"
dans la section de ton clavier de ton fichier de conf X.
[^] # Re: Pourquoi une tel somme...?
Posté par JaguarWan . Évalué à 9.
Ce projet, bien que majoritairement bien accueilli, a reçu quelques critiques de la communauté open source. La base de donnée de bugs devrait aider à rendre les logiciels open source plus sûrs, mais d'une manière détournée, a déclaré Ben Laurie, un directeur de la Fondation Apache qui est également engagé dans [le projet] OpenSSL. Une méthode plus directe serait de fournir des outils d'analyse de code aux développeurs open-source eux même, affirme-t-il.
"Il est regrettable que le Department of Homeland Security ait décidé une fois de plus de s'assurer que des entreprises privées profitent de ce financement, tandis que les développeurs open-source doivent mendier les restes", a-t-il déclaré. "Pourquoi le DHS pense-t-il qu'il est approprié de payer pour la découverte de bugs, mais n'a pas prévu de fonds pour rétribuer leur correction ?"
Le Department of Homeland Security n'a pas répondu à ces critiques pour le moment.
[^] # Re: Pourquoi une tel somme...?
Posté par benoar . Évalué à 8.
que 10% allait au projet en question, qui sont tous de toute façon
des projet serieux qui audit leur code eux même à travers different
system de Release Candidat, et surtout, c'est le plus important, on un
souci constant de qualité/securité, qui n'empeche pas les failles ou bug, mais
limite grandement les degats.
Oui c'est vrai que c'est dommage que tant d'argent soit donné à des boites proprios pour vérifier du logiciel libre, alors que ceux-ci en auraient surement beaucoup plus besoin.
Mais d'un autre coté, quand il s'agit de vérifier la sécurité, il est peut-être préférable d'avoir une analyse objective (i.e. pas faite par les développeurs du projet lui-même) afin d'avoir un avis extérieur sur la question, et surement une vue différente de certains aspects de la sécurité de ce logiciel.
Quand on voit une analyse du code de certains logiciels microsoft par des boites qui ont été sponsoriées par microsoft lui-même, on trouve ça un peu ridicule...
[^] # Re: Pourquoi une tel somme...?
Posté par Vador Dark (site web personnel) . Évalué à 8.
[^] # Re: Pourquoi une tel somme...?
Posté par Thomas Douillard . Évalué à 3.
Ensuite le financement : il vient pas à priori du gvt US, dont le but n'est à priori pas de prouver que le logiciel qu'ils vendent, c'est de la balle (ok symantec vend des antivirus) . Enfin, Symantec n'est pas tout seul sur ce coup, même si je connais pas bien l'autre boîte.
Après, ça ne dit pas ce qu'on va avoir au final, mais c'est des éléments encouragents.
[^] # Re: Pourquoi une tel somme...?
Posté par mickabouille . Évalué à 3.
Après ce qu'ils en font au niveau PR, j'en sais rien, mais il n'est pas sûrqu'ils soient vraiment libre de ce côté là.
# oui ?
Posté par Rémi baudruche . Évalué à 2.
[^] # Re: oui ?
Posté par Anonyme . Évalué à 3.
pas mal du tout, par contre il y a 34 faille de securité critique, et l'architecture et un peu trop orienté objet pour des applications critique. Il a manquer 10M$ pour pouvoir aller jusqu au bout de l'audit, n'hesiter pas a reconduire de telle campagne.
CEO of Computer and Professional engeenering system
best regards
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.