Fortify: open source insicuro per le imprese

Questo emerge da una paper divulgata dal produttore di software di valutazione del software. Sostiene che la comunitÓ open non sa competere con il mondo del closed source quando si viene alla gestione della sicurezza

Roma - Si può leggere come un avvertimento alle aziende o un attacco ad alzo zero contro lo sviluppo open source, di certo la valutazione di Fortify Software secondo cui l'open source rappresenta un rischio industriale sta facendo parlare di sé.

Lo studio Open Source Security Study, dice Fortify, "certifica che le comunità di sviluppo open source debbano ancora adottare un processo di sviluppo sicuro, e che spesso non si occupano di pericolose vulnerabilità. In più, lo studio ha scoperto che quasi tutte le comunità open non forniscono agli utenti accesso agli esperti di sicurezza per contribuire a rimediare a queste vulnerabilità e ai rischi di sicurezza".

L'esperto Larry Suto, incaricato delle analisi insieme alla divisione sicurezza di Fortify, ha preso in esame 11 pacchetti software, in particolare Tomcat, Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin e Struts. L'esame mette a confronto le community di sviluppo di questi applicativi e pacchetti con le procedure e gli standard tipici della produzione di software proprietario. E sostiene che è inesatto ritenere che l'adozione di software open source a livello industriale, che peraltro procede speditamente, significhi disporre di un apparato software più sicuro di una controparte proprietaria, anzi sarebbe spesso vero il contrario.
Degli 11 software analizzati, sostiene Suto, nessuno fornisce un contatto riservato ed efficiente sul fronte sicurezza: il reporting di vulnerabilità viene perlopiù trascurato, e addirittura sarebbero moltissime le falle che seppure segnalate migrano da una versione precedente del software a quella successiva, totalmente trascurate dagli sviluppatori.

"Le imprese - ha commentato Jacob West, a capo del gruppo di ricerca di Fortify - devono trattare l'open source proprio come un software sviluppato internamente o dato in sviluppo a terze parti in outsourcing, ovvero devono farlo passare attraverso i propri processi interni di sicurezza, compiendo attività come determinazione del rischio e revisione del codice".

E se fonti autorevoli sostengono che il codice open tende ad essere assai più stabile e solido di molto software commerciale, secondo Suto e Fortify le cose non stanno così, almeno non per quanto riguarda i pacchetti analizzati in ambito industriale. Fortify avrebbe individuato nel complesso 22.826 problemi di cross-site scripting e 15.612 di SQL injection nei pacchetti esaminati e in versioni diverse di questi software, ma quando ha tentato di avvertire le rispettive comunità di sviluppo "in due terzi dei casi non si sono proprio ottenute risposte".

Il numero di buchi, sostiene Fortify, è rimasto quasi lo stesso, o persino aumentato, nelle tre versioni successive di sei dei pacchetti esaminati. Ci va giù pesante West: "Non ci sono numeri di telefono. A chi chiedi informazioni? ╚ spesso persino difficile capire chi sia questa gente". Commenti destinati a non piacere a molti nella comunità open source, che da sempre si sforza per condividere i processi di sviluppo e ragionare in modo aperto anche su bug e vulnerabilità. Mozilla, uno dei nomi più importanti del software a codice aperto, non a caso ha assunto Rich Mogul come consigliere della sicurezza e avviato una iniziativa complessiva sulla sicurezza.

Fortify riporta anche i commenti di altri analisti, come Jennifer Bayuk, già CISO di Bear Stearns, secondo cui "la maggiorparte delle comunità open source non seguono standard di controllo di livello industriale. Esiste un costo nascosto per le imprese nel ricorrere all'open source perché devono testare e patchare i bug di sicurezza che si trovano dinanzi all'improvviso". Molti dei commenti riportati da Fortify sembrano implicare che, invece, il mondo del closed software sia perfettamente sicuro, ma è inevitabile chiedersi se si tratti di un giudizio equo, a fronte degli innumerevoli bachi individuati su software proprietari di primo piano, e spesso risolti solo con grande ritardo dai rispettivi fornitori.

Più equilibrato potrebbe apparire a molti Rogert Thornto, CTO di Fortify, secondo cui "è imperativo che le aziende adottino un processo che consenta loro di verificare, sistemare e prevenire le vulnerabilità di sicurezza su tutti i propri software di produzione indipendentemente da quale sia la fonte".

Il problema vero, dunque, starebbe più che altro nell'approccio delle imprese al software, un approccio notoriamente deficitario che secondo gli esperti deve essere sostituito da analisi del codice e del rischio. E magari dall'uso di software proprietari di produttori che proprio come Fortify forniscono piattaforme di confronto e valutazione di prodotti di diversa natura.
122 Commenti alla Notizia Fortify: open source insicuro per le imprese
Ordina
  • Vorrei chiedere a tutti quelli che stanno sputando sull'articolo di fortify, ma avete mai provato a bucare un sistema alla cieca??
    Mi spiego meglio il software open sicuramente può essere corretto più in fretta ma solo se c'è moltissima gente che s'impegna a farlo e se è un prodotto famoso con una grossa community a supportarlo sarà così(vedi firefox che dalla schifezza che era in partenza adesso è un ottimo browser), il contro è che come le vulnerabilità possono essere trovate a scopi correttivi possono essere trovate anche a scopi offensivi molto più facilmente.
    Se ci sono due programmi uno open e l'altro closed a meno che il secondo non sia estremamente più buggato in partenza è di certo molto più facile trovare e sfruttare bug a scopi negativi avendo il sorgente davanti agli occhi piuttosto che un programma compilato ed è da ignoranti in materia o ipocriti negare questo.
    non+autenticato
  • Che invece di leggere commenti intelligenti si respira la solita aria di grande (o glande come dicono i cinesi ?) cospirazione catto-musul-masso-aliena volta a colpire dei poveri cristi intenti con tutto il cuore a salvare il mondo...
  • Ecco altri geni che confondono le idee. Questi di Fortify non hanno proprio capito na mazza. La stabilità e la sicurezza di un software non sta nel fatto che sia CLOSED SOURCE o OPEN SOURCE ma nella qualità del codice. Il fatto che sia open non vuol dire che è più facile bacarlo.

    Quando questi "Cervelloni" lo capiranno, forse finalmente hanno iniziato ad intraprendere la strada giusta e forse inizieranno a capire REALMENTE di Informatica.

    Cmq Fortify un'indicazione me l'ha data. Li devo ignorare di quanto sono incopetenti e ..... (meglio che mi fermi qui).
    non+autenticato
  • Ahahaha....ma l'hai letto il report? No...ho paura di no. Ti sei letto solo i post. Vallo a leggere. Non affermano che il software closed è insicuro ma solo che non c'è un processo di gestione della sicurezza applicativa.

    Ovviamente non potevano fare il confronto con il closed...se è closed!
    non+autenticato
  • Io non mento, ma la verità è un concetto relativo.

    Io sono un analista indipendente, entrate nel mio mondo. Il mio è un mondo che inizia con il college. Sono più bravo di molti altri ragazzi, e più competitivo. Mi è relativamente facile usare i miei compagni, ingannarli, umiliarli, solo per emergere.
    Dannato secchione. Sono tutti uguali.

    Ho obbedito servile agli ordini degli insegnanti. Ho capito che per fare il padrone, un giorno, devi essere un buon servo, oggi. "Certo, Prof. Smith, affidi pure a me il registro. Stia certo che nessuno ci metterà le mani."
    Dannato leccapiedi. Sono sicuro che lui, i suoi voti, se li cambia.

    Laurea a pieni voti, università prestigiosa, amici che contano. Ho iniziato a fare carriera, correndo nel business come l'eroina nelle vene del tossicomane. Questo è il luogo a cui appartengo. Io conosco tutti qui: persone di potere, grandi manager, vengono da me e chiedono consigli.
    Dannato arrivista. Sono tutti uguali.

    Arriva da me Mr Smith della Smith & Smith: vuole investire soldi, molti soldi nel business della pancetta coppata. E vuole sapere da me se gli conviene. Non vuole giri di parole, vuole solo la verità, nuda e cruda. Io gli arrangio uno studio niente male (sono bravo,ricordate?), e gli presento un risultato: "Vai con la pancetta coppata", e lui mi copre di denaro.
    Dannato yuppie, sono tutti uguali.

    Siamo tutti uguali. Ci potete scommettere che siamo tutti uguali. Noi con la verità ci campiamo. E se la pancetta coppata non funzionasse, non avremmo pietà per lei. Perché chi ci paga vuole giocare pesante, e non ammette errori.

    Poi è successa una cosa strana. Arriva da me uno che ha fatto i soldi con il computer. Ha un concorrente, un gruppo di straccioni, che gli danno molto fastidio. Vuole investire soldi, molti soldi per toglierli dal mercato. Non vuole la verità, nuda e cruda: vuole solo giri di parole.

    Lo capite? Il mio cliente non è più Mr Smith, è la pancetta coppata in persona! E mi chiede di raccontare che lei è meglio della mortadella. E non lo devo raccontare al mio cliente, ma al mondo. Mettendo in gioco la mia reputazione. Credete che accetterò?

    Ho accettato, naturalmente. Prima ero noto solo tra gli addetti ai lavori, ora diventerò dannatamente ricco e famoso. Basterà sostenere, con prove oggettive, le teorie più inverosimili, tipo che, in particolari condizioni, Windows costa meno di Linux. O che, il 29 febbraio di ogni anno dispari, in una baita in riva al mare, Windows è più sicuro di Linux.

    La verità? Via ragazzi, è un concetto relativo. Sia chiaro: io non mento, non ne sarei capace. Solo, evidenzio alcuni aspetti parziali della realtà. Che poi qualcuno cerchi di farli passare per verità assolute, magari attraverso mia autorevolezza, non è affar mio. Ora scusatemi, ma devo finire di contare i soldi.
    non+autenticato
  • tu hai problemi seri...
    serissimi!
    non+autenticato
  • - Scritto da: analista
    > Io non mento, ma la verità è un concetto relativo.
    >
    > Io sono un analista indipendente, entrate nel mio
    > mondo. Il mio è un mondo che inizia con il
    > college. Sono più bravo di molti altri ragazzi, e
    > più competitivo. Mi è relativamente facile usare
    > i miei compagni, ingannarli, umiliarli, solo per
    > emergere.
    > Dannato secchione. Sono tutti uguali.
    >
    > Ho obbedito servile agli ordini degli insegnanti.
    > Ho capito che per fare il padrone, un giorno,
    > devi essere un buon servo, oggi. "Certo, Prof.
    > Smith, affidi pure a me il registro. Stia certo
    > che nessuno ci metterà le
    > mani."
    > Dannato leccapiedi. Sono sicuro che lui, i suoi
    > voti, se li
    > cambia.
    >
    > Laurea a pieni voti, università prestigiosa,
    > amici che contano. Ho iniziato a fare carriera,
    > correndo nel business come l'eroina nelle vene
    > del tossicomane. Questo è il luogo a cui
    > appartengo. Io conosco tutti qui: persone di
    > potere, grandi manager, vengono da me e chiedono
    > consigli.
    > Dannato arrivista. Sono tutti uguali.
    >
    > Arriva da me Mr Smith della Smith & Smith: vuole
    > investire soldi, molti soldi nel business della
    > pancetta coppata. E vuole sapere da me se gli
    > conviene. Non vuole giri di parole, vuole solo la
    > verità, nuda e cruda. Io gli arrangio uno studio
    > niente male (sono bravo,ricordate?), e gli
    > presento un risultato: "Vai con la pancetta
    > coppata", e lui mi copre di
    > denaro.
    > Dannato yuppie, sono tutti uguali.
    >
    > Siamo tutti uguali. Ci potete scommettere che
    > siamo tutti uguali. Noi con la verità ci
    > campiamo. E se la pancetta coppata non
    > funzionasse, non avremmo pietà per lei. Perché
    > chi ci paga vuole giocare pesante, e non ammette
    > errori.
    >
    > Poi è successa una cosa strana. Arriva da me uno
    > che ha fatto i soldi con il computer. Ha un
    > concorrente, un gruppo di straccioni, che gli
    > danno molto fastidio. Vuole investire soldi,
    > molti soldi per toglierli dal mercato. Non vuole
    > la verità, nuda e cruda: vuole solo giri di
    > parole.
    >
    > Lo capite? Il mio cliente non è più Mr Smith, è
    > la pancetta coppata in persona! E mi chiede di
    > raccontare che lei è meglio della mortadella. E
    > non lo devo raccontare al mio cliente, ma al
    > mondo. Mettendo in gioco la mia reputazione.
    > Credete che
    > accetterò?
    >
    > Ho accettato, naturalmente. Prima ero noto solo
    > tra gli addetti ai lavori, ora diventerò
    > dannatamente ricco e famoso. Basterà sostenere,
    > con prove oggettive, le teorie più inverosimili,
    > tipo che, in particolari condizioni, Windows
    > costa meno di Linux. O che, il 29 febbraio di
    > ogni anno dispari, in una baita in riva al mare,
    > Windows è più sicuro di
    > Linux.
    >
    > La verità? Via ragazzi, è un concetto relativo.
    > Sia chiaro: io non mento, non ne sarei capace.
    > Solo, evidenzio alcuni aspetti parziali della
    > realtà. Che poi qualcuno cerchi di farli passare
    > per verità assolute, magari attraverso mia
    > autorevolezza, non è affar mio. Ora scusatemi, ma
    > devo finire di contare i
    > soldi.

    grande!
    e mi sa che la realtà è anche peggio
    non+autenticato
  • Bellissimo!
    non+autenticato
  • praticamente stanno cercando lavoro...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 30 discussioni)