Después del proyecto Bug Hunting ejecutado por Coverity, que analizaba fallos de seguridad en más los 50 proyectos Open Source y que terminó con el artículo de Ben Chelf “Insecurity in Open Source” ahora tenemos otros resultados sobre las aplicaciones Open Source en Java. Brian Chess de la empresa Fortify Software estuvo el año pasado en las conferencias JavaOne impartiendo una conferencia sobre fallos de seguridad en aplicaciones Java. La charla se llamaba “12 Java Technology Security Traps and How to Avoid Them".
Un año después de aquella charla dice que las cosas están peor. Durante el último año han estado trabajando en el "Java Open Review Project". Este proyecto que audita código con la herramienta de análisis estático de código intenta alertar de los fallos de seguridad a los desarrolladores sin poner en riesgo a los usuarios:
“We practice responsible disclosure. We provide a summary of our findings to anyone who wants it. We provide detailed findings to the maintainers of the code.“
Para realizar este trabajo han utilizado la herramienta Findbugs, alimentada con una base de datos extensa de patrones de vulnerabilidades y los resultados del proyecto un año después son:
What Fortify has found from running the project is that the defect density of open-source code is "astronomical", Chess said, pointing out one project in particular that Fortify has inspected over the past year: Net Trust, with an estimated 12.215 errors per 1,000 lines of code.
"That's huge for a project with 'trust' in its name," Chess said.
Ironically enough, Net Trust is a Google project to create a security mechanism for simple single sign-on and authentication. "But they were students doing not very good code," Chess said.
Bueno, parece que la cosa se pone caliente, de nuevo alertan contra Cross-Site Scripting y el amigo SQL injection.
Leete la entrevista completa en eWeek
Voy a empezar a repartir los premios malignos, porque ¿cómo se ha "atrevido" a decir eso?. Si lo dice en español le crucifican, pobre.
Malignidad para todos!
la cantidad de "defentos" ?
ResponderEliminarbueno bueno bueno con los doce defectos de programar en Java.
ResponderEliminarDeberías ponerme a mí también en este post porque resulta que yo también dí una charla sobre los 12 fallos de la programación en Java, ademas dos veces, una en la ciudad donde se hacen muchas espadas y otra en una empresa de Madrid que empieza por T y acaba por P y en medio lleva una C.
Una de mis primeras sesiones trabajando con I64.
Evidentemente estos doce fallos fueron sacados de un libro escrito hace ya un par de añitos, y no por gacho este en cuestión. ;)
@Maligno
ResponderEliminar¿Has visto el comentario de eDans sobre que Microsoft es la nueva RIAA? Me he permitido contestarle en su blog y lanzarle una pregunta que no espera respuesta porque no creo que tenga tiempo para un pobre mortal como yo mientras salva el mundo...h
troxer, ¿ pq no aprendes un poquito de eDans?, te iría muy bien, pues está claro que te hace falta.
ResponderEliminar@Anonimo:
ResponderEliminarTengo tantas cosas que aprender de tanta gente, que empezar por eDans me parece igual de inteligente que empezar una casa por el tejado ;)
jajjajajjajajja
ResponderEliminarmu bueno troxer, hay algunos que no se edan cuenta que el defento es ese, hacer caso de tecnicoless
No deja de ser curioso el ver un punto de reunión de defensores y entusiastas de Microsoft que a la vez se sienten informáticos de verdad, pensé que los únicos que existían lo eran porque su nómina provenía de esa empresa... ¿es ese el caso?
ResponderEliminarEdans ha hecho cosas interesantes troxer y su admirador ander, ¿puedes decir lo mismo?
@Jcab
ResponderEliminarEstoy seguro de que eDans ha hecho cosas muy interesantes. Pero por lo que sé de él y por lo que transmite desde su blog, no tan interesantes como él cree. Cuando habla de mercados y de cosas relacionadas, soy "todo ojos" pero cuando se pone la "bufanda linuxera" y empieza a elucubrar chorradas como las que pone en su artículo sobre que si Microsoft es la nueva RIAA o sobre si debemos dejar de usar sus productos porque no son moralmente aceptables (que fijo que él escucha las canciones de Bisbal o el que sea, por mucho que sean asociados de la SGAE), pierde mucho prestigio.
Y, por cierto, que ander me de la razón no significa que sea mi admirador (de hecho, no nos conocemos que yo sepa). ¿Eres tú admirador de eDans? ¿Tienes una foto suya en la pared de tu cuarto? Espero que no :)
¿La densidad de defectos es una medida absoluta o relativa? :)
ResponderEliminarComparándolo con los resultados de coverity, los fallos en NetTrust son ciertamente más abundantes. Puede que por demérito suyo o porque realmente los datos presentados por coverity no eran tan malos...
Por cierto, acabo de ver que el proyecto este de Nettrust comenzó en Noviembre del 2006 y todavía no hay ninguna versión final para descargar. Desde luego, un buen candidato para usar como ejemplo. :P
ResponderEliminarhola bastian,
ResponderEliminarsí, es una buena táctica tener productos en beta al infinito y más allá. ;) Y nunca poner versión 1.0 ;)
Jaja, vaya demagogo estás hecho macho. Si está claro que eres malo, malo! Que no es gmail ni 2.0! No hay tampoco ninguna 0.1.
ResponderEliminarOye, solo un apunte: ese proyecto todo lo que tiene de Google es que esta alojado en Google Code, que viene a ser el servicio de alojamiento de proyectos de Google accesible a quien quiera, como sourceforge o codeplex. Eso no quiere decir que haya ingenieros de Google en el proyecto
ResponderEliminarY respecto al articulo en si... No se, no me acaba de convencer el que hagan un estudio sobre proyectos libremente recogidos de internet y esperen que eso indique la "densidad" de defectos en general
Si el open source es tan malo y tiene tantos defectos, explícame tú por qué Microsoft está hoy contraatacando con las patentes de software (que ya sabemos todos que se han desvirtuado tanto, que no tienen ninguna razón de existencia).
ResponderEliminar¿Quién dice que sea malo? Es como todo software hay algunos que son buenos porque los hacen buenos técnicos y otros que no lo son. Igual que el software comercial.
ResponderEliminarSaludos!
Y por cierto... ¿qué tiene que ver política y legislación con tecnología?
ResponderEliminarMaligno,
ResponderEliminarPreguntas que qué tienen que ver la política y la legislación con la tecnología. Yo creo que bastante. Ejemplo:
Tecnología: fármacos anti-sida
Legislación: patentes sobre los mismos
Política: Lula de Silva o las autoridades indias anunciando que van a ignorar las patentes para poder distribuir los mismos de forma mucho más economica a la población.
No se si la decisión de Lula es buena o mala, a la larga decisiones como la anterior generalizadas podrían ralentizar o detener mucho la investigación, pero por otro lado me parece totalmente inhumano permitir que muera una sóla persona por el hecho de defender los intereses económicos de unos pocos... Es difícil tomar postura, pero la política, la legislación y la tecnología no son independientes entre sí.
Pero que te voy a contar yo... ;) ¿no forma parte M$ de importantes lobbies (tanto en Washington como en Bruselas) para defender sus intereses (patentes de software, por ejemplo)? Si la política y la legislación son ajenas a la tecnología... ¿por que lo hacen? ¿Acaso son Gates y Ballmer idiotas?...
Un saludo
Hola ptarra!!
ResponderEliminarMe recuerda la frase de "¿Qué tiene que ver la velocidad con el tocino? - Que los cerdos también corren"
Si las quieres meter en el mismo saco adelante, puedes hacerlo, pero no hace que algo técnicamente sea mejor o peor.
;)
PD: No viniste a saludarme a PMP y te tengo apuntada la falta.
Pues sí, Maligno, evidentemente hay software open source bueno y software comercial bueno, lo único que pasa es que tú, con ése título de "la densidad de defectos en open source es astronómica" intentas llevar a pensar que opensource = malo.
ResponderEliminarY ahora no vengas a decir que no, porque éso es como alguien que se tira un pedo y luego dice: eh, que no he sido yo!...
Pues la política tiene que ver con todo/s, porque al final, por una parte o por otra nos joden.
Véase Microsoft con el FUD que hace últimamente con las patentes y linux, o la SGAE con su impuesto revolucionario. Están a la misma altura: querer tomar el pelo a la gente.
Hola anónimo,
ResponderEliminarno se pq no firmas con tu nombre, no te voy a hacer nada. Puedes opinar lo que desees.
Respecto a lo que dices, siento que no te hayas dado cuenta de las comillas en el título porque no es algo mio sino textual.
Siento que no te guste la opinión de este hombre. Ya sabes, las opiniones son como los culos, todo el mundo tiene uno.
Ahora si algún día quieres siempre podemos discutir de seguridad juntos.
Y además, no creo que te debas frustrar, creo que en la web, los blogs que más aumentan son los que dicen justo lo contrario que yo. Y en muchos casos y siempre, siempre, siempre, muy bien argumentado, no como yo, que lo tiro al azar y sin saber como se ve en todo lo que he escrito en este año y medio.
Bies!