Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de Krunch :
- [10/10@11:30] [bench] vitesse de censure des FAI
- [18/06@23:57] void double-free(void *ptr)
Journal : Le gouvernement US paie l'audit de projets libres
Posté par Krunch (Jabber id, page perso, ) le 18 janvier 2006On ne peut qu'espérer que cette initiative aura plus de succès que le défunt Sardonix [6].
D'après des commentaires sur le blog de Schneier [5], des employés de Coverty contribuent déjà depuis un moment à OpenBSD et FreeBSD.
Pendant ce temps, à Redmond [7].
[0] http://www.eweek.com/article2/0,1895,1909946,00.asp
[1] http://news.zdnet.com/2100-1009_22-6025579.html
[2] http://news.com.com/Homeland+Security+helps+secure+open-sour(...)
[3] http://it.slashdot.org/article.pl?sid=06/01/11/061232
[4] http://www.pcinpact.com/actu/news/25973-Des-subventions-pour(...)
[5] http://www.schneier.com/blog/archives/2006/01/dhs_funding_op(...)
[6] http://web.archive.org/web/20050305073434/http://sardonix.or(...)
[7] http://interviews.slashdot.org/comments.pl?sid=174307&ci(...)
> Lire le journal (14 commentaires, moyenne: 3,6).
[+] Pourquoi une tel somme...?
Through its Science and Technology Directorate, the department has given $1.24 million in funding to Stanford University, Coverity and Symantec to hunt for security bugs in open-source software and to improve Coverity's commercial tool for source code analysis, representatives for the three grant recipients told CNET News.com.
Est-ce que ces projets ne sont pas asser "secure" aux
du ministere americain de l'interieur...?
Et pourquoi ce mode de fonctionnement...?
to improve Coverity's commercial tool for source code analysis,
Est-ce que cette demarche a un but securitaire ou lucrative...?
Le projet me semble ambitieux en tout cas...
Il vont auditer le code de... Linux...!
rien que ça... ah nan, FreeBSD aussi, et OpenBSD...
Linux, je veux bien, c'est pas trop trop volumineux...
Mais les BSD (au passage, NetBSD est tellement secure qu'il a
pas besoin d'etre audité...!), c'est un peu plus "gros" que linux...
Ils vont auditer les kernels BSD, ou les "distrib" BSD, userland compris...?
Et pis la liste est "rigolote" OpenSSH et... xpdf...
Une applications strategique, et une autre, pas anodine, mais pas
strategique.
Mais le pire, qui va faire des vagues:
KDE
Mais pas gnome.
Plus serieusement, je vois pas ça bien, surtout quand:
Symantec will provide security intelligence and test the source code analysis tool in its proprietary software environment, said Brian Witten, the director of government research at the Cupertino, Calif., security software vendor.
est-ce que c'est possible de breveté un "security fix"...?
Parce que ça va se finir comme ça...
Et pis de toute façon l'argent aurait été mieux depensé si ne serait-ce
que 10% allait au projet en question, qui sont tous de toute façon
des projet serieux qui audit leur code eux même à travers different
system de Release Candidat, et surtout, c'est le plus important, on un
souci constant de qualité/securité, qui n'empeche pas les failles ou bug, mais
limite grandement les degats.
Derniere questions, est-ce que les travaux vont etre realisé conjointement
avec les projets en questions...?
The project, while generally welcomed, has come in for some criticism from the open-source community. The bug database should help make open-source software more secure, but in a roundabout way, said Ben Laurie, a director of the Apache Foundation who is also involved with OpenSSL. A more direct way would be to provide the code analysis tools to the open-source developers themselves, he said.
"It is regrettable that DHS has decided once more to ensure that private enterprise profits from the funding, while the open-source developers are left to beg for the scraps from the table," he said. "Why does the DHS think it is worthwhile to pay for bugs to be found, but has made no provision to pay for them to be fixed?"
The Department of Homeland Security could not immediately comment.
Pour ceux qui ne comprennent pas l'anglais, ça dit:
Circulé, y a rien à voir, vous avez bossé pendant des année pour
pondre ces logiciels qui ont de l'avenir, laissé nous nous les
approprier doucement...
You got the money, I got the soul.
-
[^]Re: Pourquoi une tel somme...?
Posté par SR91 (page perso, ) le 18/01/2006 à 23:59. (lien). Évalué à 10.Plus serieusement, tu as appris ou l'anglais ?
-
[^]Re: Pourquoi une tel somme...?
Posté par Sylvain Briole (page perso, ) le 19/01/2006 à 08:54. (lien). Évalué à 5.Moi c'était plutôt le francais qui m'inquiète ;-).
(désolé pour la cédille, mais clavier germanique)-
[^]Re: Pourquoi une tel somme...?
Posté par med (page perso, ) le 19/01/2006 à 09:34. (lien). Évalué à 1.(désolé pour la cédille, mais clavier germanique)
Touche de composition puis , puis c → ç ;)-
[^]Re: Pourquoi une tel somme...?
Posté par Victor STINNER (page perso, ) le 19/01/2006 à 10:40. (lien). Évalué à 3.Hum, le → ne s'affiche pas chez moi :-( Ca doit être une touche chelloux alors qu'il existe : « compose c , » qui donne ç.
J'ai fait une petite liste pour ceux que ça intéresse :
http://www.haypocalc.com/wiki/Touche_compose
C'est vraiment une fonctionnalité de X génialissime ! Je préfère taper « compose < < » plutôt que AltGr+"touche qui veut rien dire". Un autre que j'aime bien : « compose l / » donne ł ... c'est vraiment génial d'y avoir pensé !
Par contre, Ubuntu (KDE?) ne charge plus mon fichier ~/.Xmodmap, il faut que je le fasse à la main :-(
Haypo-
[^]Re: Pourquoi une tel somme...?
Posté par med (page perso, ) le 20/01/2006 à 00:03. (lien). Évalué à 1.Hum, le → ne s'affiche pas chez moi :-( Ca doit être une touche chelloux alors qu'il existe : « compose c , » qui donne ç.
Euh ... c'est exactement ce que j'ai écrit tu sais (bon, d'accord, j'ai dit « compose , c », mais ça revient au même). :) le → c'est tout simplement la flèche pointant à droite (→ en entité HTML) pour indiquer quelle lettre ça donnait.
-
[^]Re: Pourquoi une tel somme...?
Posté par gc (page perso, ) le 20/01/2006 à 12:00. (lien). Évalué à 2.http://www.haypocalc.com/wiki/Touche_compose
Pour la configuration tu peux tout simplement mettre
Option "XkbOptions" "compose:menu"
dans la section de ton clavier de ton fichier de conf X.
-
-
-
-
-
[^]Re: Pourquoi une tel somme...?
Posté par JaguarWan () le 19/01/2006 à 00:17. (lien). Évalué à 9.Mouais, traduction tendancieuse... Je ne suis pas une bête en anglais, mais voilà quelque chose de plus proche du sens original (c'était pas difficile :) ):
Ce projet, bien que majoritairement bien accueilli, a reçu quelques critiques de la communauté open source. La base de donnée de bugs devrait aider à rendre les logiciels open source plus sûrs, mais d'une manière détournée, a déclaré Ben Laurie, un directeur de la Fondation Apache qui est également engagé dans [le projet] OpenSSL. Une méthode plus directe serait de fournir des outils d'analyse de code aux développeurs open-source eux même, affirme-t-il.
"Il est regrettable que le Department of Homeland Security ait décidé une fois de plus de s'assurer que des entreprises privées profitent de ce financement, tandis que les développeurs open-source doivent mendier les restes", a-t-il déclaré. "Pourquoi le DHS pense-t-il qu'il est approprié de payer pour la découverte de bugs, mais n'a pas prévu de fonds pour rétribuer leur correction ?"
Le Department of Homeland Security n'a pas répondu à ces critiques pour le moment.
-
[^]Re: Pourquoi une tel somme...?
Posté par benoar (Jabber id, ) le 19/01/2006 à 03:46. (lien). Évalué à 8.Et pis de toute façon l'argent aurait été mieux depensé si ne serait-ce
que 10% allait au projet en question, qui sont tous de toute façon
des projet serieux qui audit leur code eux même à travers different
system de Release Candidat, et surtout, c'est le plus important, on un
souci constant de qualité/securité, qui n'empeche pas les failles ou bug, mais
limite grandement les degats.
Oui c'est vrai que c'est dommage que tant d'argent soit donné à des boites proprios pour vérifier du logiciel libre, alors que ceux-ci en auraient surement beaucoup plus besoin.
Mais d'un autre coté, quand il s'agit de vérifier la sécurité, il est peut-être préférable d'avoir une analyse objective (i.e. pas faite par les développeurs du projet lui-même) afin d'avoir un avis extérieur sur la question, et surement une vue différente de certains aspects de la sécurité de ce logiciel.
Quand on voit une analyse du code de certains logiciels microsoft par des boites qui ont été sponsoriées par microsoft lui-même, on trouve ça un peu ridicule...-
[^]Re: Pourquoi une tel somme...?
Posté par Vador Dark (Jabber id, ) le 19/01/2006 à 07:14. (lien). Évalué à 8.Et Symantec, qui a, il n'y a pas si longtemps, dénigré Firefox au profit d'Internet Explorer, car soit disant plus "sécurisé". Parce que comprenons bien que pour Symantec, les failles et logiciels insecures, c'est leur gagne-pain. Comment être certains qu'ils seront objectifs, et qu'ils ne profiteront pas de l'occasion pour dénigrer les LLs, en déclarant "Windows largement plus sûr que ces systèmes", et "ses systèmes comme de véritables hack d'adolescents"?
-
[^]Re: Pourquoi une tel somme...?
Posté par Thomas Douillard () le 19/01/2006 à 10:29. (lien). Évalué à 3.Il y aura la communication ... et les résultats concrêts, qui seront de toute façon profitable au ll (bug/faille trouvé, bug/faille éradiqué)
Ensuite le financement : il vient pas à priori du gvt US, dont le but n'est à priori pas de prouver que le logiciel qu'ils vendent, c'est de la balle (ok symantec vend des antivirus) . Enfin, Symantec n'est pas tout seul sur ce coup, même si je connais pas bien l'autre boîte.
Après, ça ne dit pas ce qu'on va avoir au final, mais c'est des éléments encouragents.
-
[^]Re: Pourquoi une tel somme...?
Posté par Mickaël L () le 19/01/2006 à 10:29. (lien). Évalué à 3.Parce que commenter le code n'est pas dans la commande ministérielle. Ils vont rendre des commentaires techniques, avec une description des problèmes majeurs recontrés.
Après ce qu'ils en font au niveau PR, j'en sais rien, mais il n'est pas sûrqu'ils soient vraiment libre de ce côté là.
-
-
oui ?
Et ça veux dire quoi auditer le code source d'un programme, juste comme ça ?
-
[^]Re: oui ?
Posté par dark_star () le 20/01/2006 à 17:07. (lien). Évalué à 3.par exemple j'ai auditer le code source de linux, mes conclusions sont:
pas mal du tout, par contre il y a 34 faille de securité critique, et l'architecture et un peu trop orienté objet pour des applications critique. Il a manquer 10M$ pour pouvoir aller jusqu au bout de l'audit, n'hesiter pas a reconduire de telle campagne.
CEO of Computer and Professional engeenering system
best regards
Cette page a été générée par Templeet en 0.0774s (dont 0.0076 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.