Библиотека Интернет Индустрии I2R.ru

Главный специалист по науке компании WireX Communications Криспин Коуэн (Crispin Cowan), занимающейся созданием безопасных Linux-систем, и соучредитель Sardonix, считает, что "аудит программ проводится куда менее тщательно, чем об этом думают люди. Ядро Linux, возможно, подвергается приличному аудиту, а вот браузер Mozilla уже нет. Но все это догадки, и их надо проверить".

Дыры в безопасности ПО, вызванные недостатком анализа кода - беда не только открытых систем. После обращения в прошлом месяце Билла Гейтса (Bill Gates) к сотрудникам Microsoft с призывом сосредоточиться на безопасности выпускаемых программ, руководители компании заявляют, что в течение 3-4 недель разработчики будут обучаться технике безопасного программирования и аудита существующего кода.

Подобная инициатива в обществе открытых исходников существует уже в течение нескольких лет. В 1998 году разработчики Linux начали проект Linux Security Audit Project, призванный собрать экспертов для анализа ПО с открытым кодом и поиска ошибок, но было проанализировано очень малое количество кода, а список рассылки проекта очень быстро сошелся к постоянному обсуждению дел с безопасностью в Linux.

Потенциал программ с открытым кодом как максимально безопасных еще не реализован. Преимущество открытого кода состоит в том, что много людей может взглянуть и проанализировать его, но в реальности этого не происходит.

Сегодня г-жа Коуэн и DARPA надеются, что Sardonix поможет Linux и сообществу открытого ПО переориентироваться в сторону лучшей безопасности. Сайт Sardonix содержит списки приложений, которые были и которые еще не были подвергнуты аудиту. Кроме этого, сайт содержит ссылки на утилиты, которые могут быть использованы для поиска ошибок в коде и помочь в написании более безопасного кода. И наконец, г-жа Коуэн собирается создать рейтинг программистов-анализаторов кода на основании того, как хорошо они выполняют эту работу.

Однако другие специалисты по безопасности считают, что данная инициатива хороша только в теории. Любой код определенно выиграет, если квалифицированный обозреватель взглянет на него. Ключевым же словом в этом предложении является "квалифицированный". Хотя код открытого приложения может быть проанализирован большим количеством людей, чем, скажем, продукт от Microsoft, немногие из этих людей будут иметь хоть какое-то представление о безопасном программировании.

Основатель проекта OpenBSD Тео де Раадт (Theo de Raadt) считает, что процесс разработки Linux имеет проблемы, которые не решатся анализом кода. По его словам, "в области безопасности Linux страдает некоторыми болезнями". Особенности в кодировании низкого уровня вырастают до неконтролируемых размеров, почти до уровня Microsoft, и это делает сложным контроль качества.

Основные библиотеки, используемые программистами, также не подвергаются должному аудиту, и лидеры проектов не всегда принимают во внимание технологии безопасности.

DARPA поддерживает большое количество проектов, связанных с безопасностью открытых систем. В июле было выделено $1,2 млн. на проект по обеспечению дополнительных средств безопасности в FreeBSD. Было также поддержано 11 других проектов, включая Sardonix Audit Portal.

Как часть соглашения с DARPA, WireX выпустит также два программных продукта для сообщества ПО с открытыми исходниками: StackGuard - добавка к стандартному компилятору C, позволяющая создавать программы, устойчивые к переполнению буфера, и OpenBIND - новый сервер DNS. Появление последней программы объясняют тем, что создатели самого популярного на сегодняшний день сервера DNS - BIND - приняли решение менее открыто обсуждать аспекты безопасности.