Библиотека Интернет Индустрии I2R.ru

Как сообщает CNet, веб-портал Sardonix Audit Portal, тестовая версия которого уже запущена, станет тем местом, где программисты будут обмениваться информацией о дырах, найденных в открытом ПО друг друга.

Как заявил Криспин Коуэн, один из основателей Sardonix, проверка программных продуктов на предмет безопасности осуществляется в намного меньших масштабах, чем думают пользователи. Криспин Коуэн в настоящее время работает главным научным консультантом в компании WireX Communications, занимающейся разработкой систем безопасности под Linux.

"Ядро ОС Linux, возможно, действительно довольно хорошо проверено на наличие уязвимых мест, а вот с аудитом безопасности браузера Mozilla дела, вероятно, обстоят уже не так хорошо. Однако все это - лишь догадки, - заявляет Коуэн, - и нам предстоит еще оценить, так ли это на самом деле".

Сообщество open-source уже пыталось организовать нечто подобное, однако эта инициатива практически ни к чему не привела. В 1998 году разработчики Linux запустили проект Linux Security Audit Project, предназначенный для выявления всех дыр и багов ОС Linux. Однако почтовая рассылка очень быстро превратилась в простой дискуссионный клуб, в котором обсуждались общие проблемы безопасности Linux, а просмотр и проверка существующих строк кода так толком и не были начаты.

"Потенциал открытого программного обеспечения в области безопасности так и не был до конца раскрыт, - полагает Коуэн. – Основное преимущество открытого кода состоит в том, что он дает возможность множеству экспертов свободно его просматривать и проверять, однако в реальности этого не происходит".

Sardonix - далеко не первый проект военного ведомства в области повышения безопасности ПО с открытым кодом. В июле прошлого года именно DARPA выделило 1,2 миллиона долларов на повышение безопасности ОС FreeBSD. Помимо Sardonix, DARPA поддерживает еще 10 различных проектов в области безопасности открытого ПО.

Напомним, что в последнее время происходит настоящий бум в области безопасности программного обеспечения. В частности, корпорация Microsoft объявила февраль "месячником безопасности". Билл Гейтс заявил, что его программисты не напишут за февраль ни одной строчки кода для новых продуктов корпорации, а будут лишь неустанно трудиться над обнаружением и залатыванием дыр.

Первым результатом этих праведных трудов корпорации на доселе не паханном поле безопасности стала "заплатка" для ОС Windows 2000 размеров в 17 Мб.