USA, codice open al setaccio

L'ente che coordina le iniziative per la sicurezza del Paese lancia un progettone per aiutare gli sviluppatori open source ad eliminare i bug dal loro codice. Ma non tutti esultano

Washington (USA) - La crescente diffusione del software open source in settori chiave della pubblica amministrazione e della difesa statunitensi, ha spinto lo U.S. Department of Homeland Security (DHS) ad avviare un progettone scova-bug che dovrebbe contribuire a migliorare la sicurezza e l'affidabilità delle applicazioni a codice aperto.

Finanziato con un investimento di quasi 1,3 milioni di dollari, DHS sta per attivare un sistema automatico che, a partire da marzo, passerà quotidianamente al setaccio il codice di alcuni tra i più famosi progetti a codice aperto. Basato su tecnologie sviluppate da Stanford University, Coverity e Symantec, il sistemone terrà traccia di tutti gli errori di programmazione scovati e li inserirà automaticamente in un database che potrà essere consultato sul Web dagli sviluppatori open source.

I progetti open source che potranno beneficiare del sofisticato sniffatore di bug sono oltre 40, tra cui Linux, Apache, Firefox, KDE, MySQL, FreeBSD, OpenSSL e BIND. DHS sostiene che la propria iniziativa, chiamata Vulnerability Discovery and Remediation Open Source Hardening Project, ha lo scopo di "contribuire a rendere il ciberspazio più sicuro" e "incoraggiare lo sviluppo e l'adozione di tecnologie atte a proteggere l'infrastruttura delle telecomunicazioni statunitense, inclusa Internet e altri network di cruciale importanza".Il motore di analisi, sviluppato da Coverity, è in grado di setacciare il codice alla ricerca di oltre 20 tipi di vulnerabilità, inclusi i famigerati buffer overflow. Il tool è anche in grado di fornire agli sviluppatori suggerimenti su come ovviare alle problematiche di sicurezza più comuni.
DHS afferma che il suo "setaccio" digitale mette a disposizione della comunità open source tecnologie di test e analisi del codice che oggi solo aziende di medie e grandi dimensioni possono permettersi. Ma all'interno della comunità open non tutti sembrano disposti ad accogliere l'iniziativa a braccia aperte.

Ciò che ad esempio non va giù a Ben Laurie, director della Apache Foundation e coordinatore del progetto OpenSSL, è che Coverity e Symantec ricevano dal Governo USA fior di quattrini per testare e affinare le proprie tecnologie closed source: "Meglio sarebbe stato - afferma Laurie - se gli strumenti di analisi del codice fossero stati messi a disposizione di tutti gli sviluppatori open source". Una pretesa eccessiva?
82 Commenti alla Notizia USA, codice open al setaccio
Ordina
  • Sarò poco aggiornato, ma se non ricordo male ho sentito da qualche parte che una delle regole fondamentali dell'informatica è proprio questa: "Non è possibile programmare software che testano altri software".

    Un po' come il problema del commesso viaggiatore e del tassellamento...
    non+autenticato
  • Anche il codice closed deve passare al setaccio.
    Com'è che non lo fanno??
    poi vediamo quale dei due ha più buchi....
    Saluti.
    non+autenticato
  • è proprio questo il bello del opensource che si puo controllare il bug e correggerli invece di aspettare mesi che qualcun'altro lo faccia.
    non+autenticato
  • Ciao a Tutti !

    Ma è una mia impressione o questa è una stroinzata ?
    Ovvero, il software OpenSource è li da vedere, se c'è un bug chiunque può segnalarlo all' auotore, correggerlo personalemente, e quant' altro ...
    Io questo BEL "controllo" qualità lo farei sui software closed che quelli si che non si ha la più pallida idea di quello che fanno ...
    Attenzione, io non sono a tutti i costi pro-open o anti-closed, per me ognuno faccia quello che vuole ed usi i software che più gli aggrada.

  • - Scritto da: The_GEZ
    [...]
    > Ovvero, il software OpenSource è li da vedere, se
    > c'è un bug chiunque può segnalarlo all' auotore,
    > correggerlo personalemente, e quant' altro ...
    [...]

    Il fatto che la possibilita' di scovare bug nel software OpenSource sia offerta a tutti, non vuol dire che tutti i bug possano essere visti con la facilita' di una luce che brilla nel buio.

    Un software che cerchi sistematicamente determinate tipologie di bug e le renda note (agli sviluppatori) non puo' che far bene.

    Poi bisogna vedere che uso se ne fa, per esempio se una volta scoperti i bug (grazie ai finanziamenti pubblici) se ne rendessero noti solo il 90%.... non sarebbe tanto bello Occhiolino
    non+autenticato
  • Ciao Anonimo !

    > Un software che cerchi sistematicamente
    > determinate tipologie di bug e le renda note
    > (agli sviluppatori) non puo' che far bene.

    Si, in linea puramente teorica, sarebbe una bella cosa. Ma non è questo il punto.
    Quello che dico, alla fine è che mi sembra quantomeno strano questo slancio della pubblica amministrazione volto a finanziare aziende private di software closed e pure aderenti al TCPA (che notoriamente non è che strizzi l' occhio al software open e/o free) per migliorare la "sicurezza" del software open source.

    > Poi bisogna vedere che uso se ne fa, per esempio
    > se una volta scoperti i bug (grazie ai
    > finanziamenti pubblici) se ne rendessero noti
    > solo il 90%.... non sarebbe tanto bello Occhiolino

    Mah, la puzza c'è ...
  • ora è il momento della verità e tutti i pastrocchi del vs codice spaghettoso ridondante 'ncoerente verranno alla luce yeah!
    non+autenticato

  • - Scritto da: Anonimo
    > ora è il momento della verità e tutti i
    > pastrocchi del vs codice spaghettoso ridondante
    > 'ncoerente verranno alla luce yeah!
    pensi che il tuo codice sia migliore? dimostralo, è closed beh pazienza non ci fidiamo
    Non hai mai scrtto del codice? allora che parli a fare?

  • - Scritto da: pikappa
    >
    > - Scritto da: Anonimo
    > > ora è il momento della verità e tutti i
    > > pastrocchi del vs codice spaghettoso ridondante
    > > 'ncoerente verranno alla luce yeah!
    > pensi che il tuo codice sia migliore? dimostralo,
    > è closed beh pazienza non ci fidiamo
    > Non hai mai scrtto del codice? allora che parli a
    > fare?

    la verità è che ho collaborato a diversi progetti OSS per fini aziendali (Mantis / Testlink / Phpbb / dotProject etc...bastano?) e sebbene i progetti stiano in piedi, quando si mettono le mani sul codce regna il marasma più totale (sfido io...ci lavorano il 15enne acaro o il parruccone masterizzato o il metalmeccanico la domenica pomeriggio)
    non+autenticato
  • - Scritto da: Anonimo

    > la verità è che ho collaborato a diversi progetti
    > OSS per fini aziendali (Mantis / Testlink / Phpbb
    > / dotProject etc...bastano?)

    Interessante, pure io ho lavorato per Mantis ...

    > e sebbene i progetti
    > stiano in piedi, quando si mettono le mani sul
    > codce regna il marasma più totale

    A me il codice di mantis mi pareva fatto bene. Mi spiegheresti in cosa era peggio del codice closed ?

    > (sfido io...ci
    > lavorano il 15enne acaro o il parruccone
    > masterizzato o il metalmeccanico la domenica
    > pomeriggio)

    Quello sei te, sempre che sia vero quel che hai scritto sopraFicoso

    ==================================
    Modificato dall'autore il 17/01/2006 11.51.09
    11237

  • - Scritto da: Anonimo
    > ora è il momento della verità

    lo è sempre stato.
    Il codice è LIBERO

    Altrettanto non si può dire del software chiuso



    non+autenticato

  • - Scritto da: Anonimo
    > ora è il momento della verità e tutti i
    > pastrocchi del vs codice spaghettoso ridondante
    > 'ncoerente verranno alla luce yeah!

    meglio! C'e' sempre spazio per migliorare!
    non+autenticato

  • - Scritto da: Anonimo
    > ora è il momento della verità e tutti i
    > pastrocchi del vs codice spaghettoso ridondante
    > 'ncoerente verranno alla luce yeah!

    Dov'è TrollSpammer quando ce n'è bisogno? Lui almeno ha il senso dell'umorismo!
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)