Bug a caccia di uno standard

Ci prova il Dipartimento per la Homeland Security con l'adozione di un sistema di scoring standard per valutare il rischio nelle falle del software. Dentro Cisco e Symantec, fuori Microsoft

Washington (USA) - Lo US Department of Homeland Security ha deciso di aggiornare il suo National Vulnerability Database, presentato lo scorso agosto, con il Common Vulnerability Scoring System, ovvero un sistema standardizzato di valutazione del rischio delle vulnerabilitÓ software. Al momento il database statunitense elenca pi¨ di 13 mila vulnerabilitÓ, gerarchizzate in base al livello di pericolo e di presenza nella web-sfera.

"Non esiste e non esiterÓ mai una tecnica perfetta per dare una valutazione all'impatto delle vulnerabilitÓ. Common Vulnerability Scoring System Ŕ solo la soluzione migliore al momento, per questo abbiamo deciso di adottarla", ha dichiarato Peter Mell, sviluppatore presso il National Strategy to Secure Cyberspace e creatore di NVD.

Common Vulnerability Scoring System Ŕ il prodotto del lavoro di imprese del calibro di Cisco, Qualys e Symantec. Non ha ancora raggiunto un alto livello di notorietÓ, ma alcune aziende stanno considerando l'idea di adottarlo come sistema di riferimento.
"L'utilizzo del CVSS come sistema di valutazione delle vulnerabilitÓ poneva un problema di analisi nei confronti dell'archivio storico. L'integrazione con NVD ha risolto il tutto", ha spiegato Gerhard Eschelbeck, CTO di Qualys.

Nessun fornitore software sta utilizzando Common Vulnerability Scoring System. Microsoft, ad esempio, Ŕ soddisfatta della sua soluzione proprietaria ed ha pi¨ volte confermato che non ha intenzione di cambiare metodo, dato che i suoi clienti sembrano essere soddisfatti. Altri sviluppatori hanno accennato ad eventuali conseguenze di carattere legale. Se un'azienda desse ad una vulnerabilitÓ un rating di pericolositÓ sotto-stimato potrebbe pagarne le conseguenze. "Sono convinto che vi siano un paio di ostacoli per l'adozione di un sistema di valutazione, ma con l'aumentare delle adesioni il tutto potrebbe essere risolto", ha commentato Gavin Reid, leader del programma CVSS per il Forum of Incident Response and Security Teams (FIRST). "L' integrazione con il National Vulnerability Database, comunque, farÓ da catalizzatore. In futuro il numero di imprese affiliate aumenterÓ considerevolmente"

NVD, gestito dal National Institute of Standards and Technology (NIST), Ŕ stato realizzato dal Department of Homeland Security e il suo team ogni giorno inserisce in media 16 nuove vulnerabilitÓ ed elabora statistiche di ogni genere, comprese quelle che riguardano il carico di lavoro sostenuto dai network administrator per far fronte alle falle. In pratica i tecnici governativi individuano quotidianamente con un processo semi-automatico tutte le informazioni che servono al database centrale per elaborare in seguito una valutazione attendibile.

"Le specifiche del CVE sono solo uno degli standard adottati dal National Vulnerability Database. In sinergia viene sfruttato anche Open Vulnerability and Assessment Language (OVAL)", ha dichiarato Mell. "Il motivo per cui abbiamo scelto CVSS Ŕ che crediamo negli standard. Con sistemi diversi si perde di efficienza".

Dario d'Elia
TAG: sicurezza
10 Commenti alla Notizia Bug a caccia di uno standard
Ordina
  • Ma si chiama Microsoft, cos'altro stanno a cercare???
    non+autenticato
  • No, questo è uno standard open. Tra un paio d'anni, Microsoft l'adotterà e lo amplierà, rendendo di fatto impossibile agli altri avere gli stessi bug standard.

    Sorride

    ╚ una battuta... non prendetevela

    Madder

  • - Scritto da: Anonimo
    > Ma si chiama Microsoft, cos'altro stanno a
    > cercare???

    Il problema e' la scala da adottare. Se infatti usiamo come unita' di misura il "M$Bug", allora avremo (Forse) patches per prodotti Microsoft che correggono due o tre KiloM$Bug, sei o sette EttoM$Bug e qualche decina di M$Bug.
    Nel caso dell'OpenSource, invece, avremo rapide patches che correggono uno o forse due MicroM$Bug e magari una volta all'anno ci sara' una patch per un MilliM$Bug.

    Come vedi ci sono diversi ordini di grandezza di differenza tra i Bugs della microsoft e quelli del mondo OpenSource.
    non+autenticato
  • O forse hano paura delle valutazioni di merda che otterrebbero i loro prodotti dato che la maggior parte delle fallacce winzozziane sarebbero al max lv di pericolosità.
    non+autenticato
  • > Il problema e' la scala da adottare. Se infatti
    > usiamo come unita' di misura il "M$Bug", allora
    > avremo (Forse) patches per prodotti Microsoft che
    > correggono due o tre KiloM$Bug, sei o sette
    > EttoM$Bug e qualche decina di M$Bug.
    > Nel caso dell'OpenSource, invece, avremo rapide
    > patches che correggono uno o forse due MicroM$Bug
    > e magari una volta all'anno ci sara' una patch
    > per un MilliM$Bug.
    >
    > Come vedi ci sono diversi ordini di grandezza di
    > differenza tra i Bugs della microsoft e quelli
    > del mondo OpenSource.
    Peccato che la Microsoft si misuri in MegaBucks, linux in millibucksA bocca aperta

    non+autenticato

  • - Scritto da: Anonimo
    > > Il problema e' la scala da adottare. Se infatti
    > > usiamo come unita' di misura il "M$Bug", allora
    > > avremo (Forse) patches per prodotti Microsoft
    > che
    > > correggono due o tre KiloM$Bug, sei o sette
    > > EttoM$Bug e qualche decina di M$Bug.
    > > Nel caso dell'OpenSource, invece, avremo rapide
    > > patches che correggono uno o forse due
    > MicroM$Bug
    > > e magari una volta all'anno ci sara' una patch
    > > per un MilliM$Bug.
    > >
    > > Come vedi ci sono diversi ordini di grandezza di
    > > differenza tra i Bugs della microsoft e quelli
    > > del mondo OpenSource.
    > Peccato che la Microsoft si misuri in MegaBucks,
    > linux in millibucksA bocca aperta
    >

    Vero, ma visto che i MegaBugs costano MegaBucks e i milliBugs costano milliBucks direi che le due cose si compensano, con la differenza che con i milliBugs hai anche un milliStress, mentre con i MegaBugs hai i MegaStress.

    Quindi ci guadagni in salute.
  • > Il problema e' la scala da adottare. Se infatti
    > usiamo come unita' di misura il "M$Bug", allora
    > avremo (Forse) patches per prodotti Microsoft che
    > correggono due o tre KiloM$Bug, sei o sette
    > EttoM$Bug e qualche decina di M$Bug.
    > Nel caso dell'OpenSource, invece, avremo rapide
    > patches che correggono uno o forse due MicroM$Bug
    > e magari una volta all'anno ci sara' una patch
    > per un MilliM$Bug.


    qui si sostiene che windows ha mega bug in abbondanza
    mentre linux ha solo robe leggere ... basta farsi 1 giro per internet e vedere che ciò è falso
    non+autenticato
  • pure Linuz ha i suoi bei buchi lascia perdere ....
    non+autenticato
  • - Scritto da: Anonimo
    > pure Linuz ha i suoi bei buchi lascia perdere ....

    Si stava parlando proprio di quello... Percheà lasciar perdere ?!?

    Forse se non tagliassi via tutto quotando, puoà darsi che magare mentre scrivi tu riesca anche a leggere a cosa stai rispondendo.1
    non+autenticato