Аналитика
Так ли безопасен Linux? Несколько коммитов с уязвимосятми в stable

Так ли безопасен Linux? Несколько коммитов с уязвимосятми в stable

Исследователи сумели пройти code-review с реквестами в ядро Linux, заведомо содержащими добавление уязвимостей.

В далёкие околостуденческие годы я был свидетелем замечательной беседы, где один из участников приводил в качестве плюсов открытых систем безопасность. Выглядело это примерно так:

— А вы тщательно изучили все 16 миллионов строк кода ядра. А остальное? Еще примерно 80 миллионов строк.

— Я тщательно изучил те 5000 строк, которые мне были выделены на инспектирование. Остальное изучали мои коллеги. Вообще, людей, которые инспектируют коды ядра, даже не тысячи — сотни тысяч.

— То есть, в линуксе их нет, а во всех остальных — запросто?

— В закрытых — да. В открытых — едва ли.

И на тот момент я легко в это верил. Ведь десятки, сотни тысяч смотрят на код. Ведь он открыт!

И это было очевидно, пока я сам не стал частью небольшой команды с культурой code-review. Тут то я и понял, что code-review — не панацея от ошибок. Это скорее стимул писать "прилично" и проверка на откровенную чушь. Ну и человеческий (не "удобный" или "понятный", а с бекендом "человек") проверяльщик стиля и цикломатической сложности.

Ещё чуть позже — что тесты тестируют только мани-мирок разработчика. Но сейчас не об этом.

Those commits are part of the following research: https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf

They introduce kernel bugs on purpose. Yesterday, I took a look on 4 accepted patches from Aditya and 3 of them added various severity security "holes".

Thanks

Цитата из LKML.

В сущности, исследователи из университета Миннесоты успешно провели исследование безопасности OSS модели разработки. Суть была в выяснении, на сколько сложно умышленно добавлять уязвимости в OpenSource проекты.

Они подготовили 4 патча и отправили их в ядро Linux. Патчи были приняты. 3 из них содержали уязвимости. Такие дела...

Тут вспоминается интервью Торвальдса 2013-го года, где его спросили, содержит ли ядро бекдоры FBI. На что Линус ответил "нет" кивая.

Также может быть вам интересно:

Маленькая книга о Go (golang)

Маленькая книга о Go распространяется под лицензией Attribution-NonCommercial-ShareAlike 4.0 International license. Вы не должны платить за эту книгу.

Читать »

Что есть мотивация? Зачем мотивация тебе?

Говоря о руководстве командой разработчиков, сложно не впасть в эту старую как мир западню - мотивацию. Давайте сегодня постараемся понять: что есть реальная мотивация и как она помогает?

Читать »
Фото Как сделать свою middleware в Django (с примерами)

Как сделать свою middleware в Django (с примерами)

Middleware или "промежуточное программное обеспечение" - элегантный способ установить общие правила обработки запросов и ответов приложения. Давайте напишем парочку middleware, чтобы понять, как они работают.

Фото Настройка журналирования (логирования) в Python с примерами

Настройка журналирования (логирования) в Python с примерами

Во время работы программы часто нужно сохранять некоторые важные записи о процессе выполнения команды. В Python есть довольно мощный модуль для работы с логами - давайте разберёмся с тем, как его использовать.

Фото Маленькая книга о Go (golang)

Маленькая книга о Go (golang)

Маленькая книга о Go распространяется под лицензией Attribution-NonCommercial-ShareAlike 4.0 International license. Вы не должны платить за эту книгу.

Фото Нет слов, одни... однострочники

Нет слов, одни... однострочники

На днях вышел пост со списком полезных однострочников для JavaScript программистов. Памятуя Perl-овую молодость, заглянул туда.

Фото 25 января вышло новое крупное обновление Age of Empires II DE: Lords of the West

25 января вышло новое крупное обновление Age of Empires II DE: Lords of the West

Старая добрая Age of Empires II (а точнее - Definitive Edition) получила глобальное обновление. Новые кампании, новые цивилизации!

Фото И снова sudo, и снова "решето"

И снова sudo, и снова "решето"

В утилите sudo была исправлена очередная уязвимость.

Фото Google Play временно забанил видео-плеер за поддержку неправильных субтитров

Google Play временно забанил видео-плеер за поддержку неправильных субтитров

На днях Google Play приостановил распространение видео-плеера "Just (Video) Player" за упоминание ".ASS" формата субтитров

Фото О многозадачности и планировщике задач (шедулер)

О многозадачности и планировщике задач (шедулер)

Небольшой экскурс в проблемы многозадачности и реализации планировщиков.