miércoles, mayo 16, 2007

"La densidad de defectos en Open Source es Astronomica"

Después del proyecto Bug Hunting ejecutado por Coverity, que analizaba fallos de seguridad en más los 50 proyectos Open Source y que terminó con el artículo de Ben Chelf “Insecurity in Open Source” ahora tenemos otros resultados sobre las aplicaciones Open Source en Java. Brian Chess de la empresa Fortify Software estuvo el año pasado en las conferencias JavaOne impartiendo una conferencia sobre fallos de seguridad en aplicaciones Java. La charla se llamaba “12 Java Technology Security Traps and How to Avoid Them".

Un año después de aquella charla dice que las cosas están peor. Durante el último año han estado trabajando en el "Java Open Review Project". Este proyecto que audita código con la herramienta de análisis estático de código intenta alertar de los fallos de seguridad a los desarrolladores sin poner en riesgo a los usuarios:

“We practice responsible disclosure. We provide a summary of our findings to anyone who wants it. We provide detailed findings to the maintainers of the code.“

Para realizar este trabajo han utilizado la herramienta Findbugs, alimentada con una base de datos extensa de patrones de vulnerabilidades y los resultados del proyecto un año después son:

What Fortify has found from running the project is that the defect density of open-source code is "astronomical", Chess said, pointing out one project in particular that Fortify has inspected over the past year: Net Trust, with an estimated 12.215 errors per 1,000 lines of code.

"That's huge for a project with 'trust' in its name," Chess said.

Ironically enough, Net Trust is a Google project to create a security mechanism for simple single sign-on and authentication. "But they were students doing not very good code," Chess said.

Bueno, parece que la cosa se pone caliente, de nuevo alertan contra Cross-Site Scripting y el amigo SQL injection.

Leete la entrevista completa en eWeek

Voy a empezar a repartir los premios malignos, porque ¿cómo se ha "atrevido" a decir eso?. Si lo dice en español le crucifican, pobre.

Malignidad para todos!

20 comentarios:

Anónimo dijo...

la cantidad de "defentos" ?

Tres pezones dijo...

bueno bueno bueno con los doce defectos de programar en Java.

Deberías ponerme a mí también en este post porque resulta que yo también dí una charla sobre los 12 fallos de la programación en Java, ademas dos veces, una en la ciudad donde se hacen muchas espadas y otra en una empresa de Madrid que empieza por T y acaba por P y en medio lleva una C.

Una de mis primeras sesiones trabajando con I64.

Evidentemente estos doce fallos fueron sacados de un libro escrito hace ya un par de añitos, y no por gacho este en cuestión. ;)

Troxer dijo...

@Maligno

¿Has visto el comentario de eDans sobre que Microsoft es la nueva RIAA? Me he permitido contestarle en su blog y lanzarle una pregunta que no espera respuesta porque no creo que tenga tiempo para un pobre mortal como yo mientras salva el mundo...h

Anónimo dijo...

troxer, ¿ pq no aprendes un poquito de eDans?, te iría muy bien, pues está claro que te hace falta.

Troxer dijo...

@Anonimo:

Tengo tantas cosas que aprender de tanta gente, que empezar por eDans me parece igual de inteligente que empezar una casa por el tejado ;)

Ander dijo...

jajjajajjajajja
mu bueno troxer, hay algunos que no se edan cuenta que el defento es ese, hacer caso de tecnicoless

jcab dijo...

No deja de ser curioso el ver un punto de reunión de defensores y entusiastas de Microsoft que a la vez se sienten informáticos de verdad, pensé que los únicos que existían lo eran porque su nómina provenía de esa empresa... ¿es ese el caso?

Edans ha hecho cosas interesantes troxer y su admirador ander, ¿puedes decir lo mismo?

Troxer dijo...

@Jcab

Estoy seguro de que eDans ha hecho cosas muy interesantes. Pero por lo que sé de él y por lo que transmite desde su blog, no tan interesantes como él cree. Cuando habla de mercados y de cosas relacionadas, soy "todo ojos" pero cuando se pone la "bufanda linuxera" y empieza a elucubrar chorradas como las que pone en su artículo sobre que si Microsoft es la nueva RIAA o sobre si debemos dejar de usar sus productos porque no son moralmente aceptables (que fijo que él escucha las canciones de Bisbal o el que sea, por mucho que sean asociados de la SGAE), pierde mucho prestigio.

Y, por cierto, que ander me de la razón no significa que sea mi admirador (de hecho, no nos conocemos que yo sepa). ¿Eres tú admirador de eDans? ¿Tienes una foto suya en la pared de tu cuarto? Espero que no :)

bastian dijo...

¿La densidad de defectos es una medida absoluta o relativa? :)
Comparándolo con los resultados de coverity, los fallos en NetTrust son ciertamente más abundantes. Puede que por demérito suyo o porque realmente los datos presentados por coverity no eran tan malos...

bastian dijo...

Por cierto, acabo de ver que el proyecto este de Nettrust comenzó en Noviembre del 2006 y todavía no hay ninguna versión final para descargar. Desde luego, un buen candidato para usar como ejemplo. :P

Maligno dijo...

hola bastian,

sí, es una buena táctica tener productos en beta al infinito y más allá. ;) Y nunca poner versión 1.0 ;)

bastian dijo...

Jaja, vaya demagogo estás hecho macho. Si está claro que eres malo, malo! Que no es gmail ni 2.0! No hay tampoco ninguna 0.1.

Ricardo dijo...

Oye, solo un apunte: ese proyecto todo lo que tiene de Google es que esta alojado en Google Code, que viene a ser el servicio de alojamiento de proyectos de Google accesible a quien quiera, como sourceforge o codeplex. Eso no quiere decir que haya ingenieros de Google en el proyecto

Y respecto al articulo en si... No se, no me acaba de convencer el que hagan un estudio sobre proyectos libremente recogidos de internet y esperen que eso indique la "densidad" de defectos en general

Anónimo dijo...

Si el open source es tan malo y tiene tantos defectos, explícame tú por qué Microsoft está hoy contraatacando con las patentes de software (que ya sabemos todos que se han desvirtuado tanto, que no tienen ninguna razón de existencia).

maligno dijo...

¿Quién dice que sea malo? Es como todo software hay algunos que son buenos porque los hacen buenos técnicos y otros que no lo son. Igual que el software comercial.

Saludos!

maligno dijo...

Y por cierto... ¿qué tiene que ver política y legislación con tecnología?

ptarra dijo...

Maligno,

Preguntas que qué tienen que ver la política y la legislación con la tecnología. Yo creo que bastante. Ejemplo:
Tecnología: fármacos anti-sida
Legislación: patentes sobre los mismos
Política: Lula de Silva o las autoridades indias anunciando que van a ignorar las patentes para poder distribuir los mismos de forma mucho más economica a la población.

No se si la decisión de Lula es buena o mala, a la larga decisiones como la anterior generalizadas podrían ralentizar o detener mucho la investigación, pero por otro lado me parece totalmente inhumano permitir que muera una sóla persona por el hecho de defender los intereses económicos de unos pocos... Es difícil tomar postura, pero la política, la legislación y la tecnología no son independientes entre sí.

Pero que te voy a contar yo... ;) ¿no forma parte M$ de importantes lobbies (tanto en Washington como en Bruselas) para defender sus intereses (patentes de software, por ejemplo)? Si la política y la legislación son ajenas a la tecnología... ¿por que lo hacen? ¿Acaso son Gates y Ballmer idiotas?...

Un saludo

Maligno dijo...

Hola ptarra!!

Me recuerda la frase de "¿Qué tiene que ver la velocidad con el tocino? - Que los cerdos también corren"

Si las quieres meter en el mismo saco adelante, puedes hacerlo, pero no hace que algo técnicamente sea mejor o peor.

;)

PD: No viniste a saludarme a PMP y te tengo apuntada la falta.

Anónimo dijo...

Pues sí, Maligno, evidentemente hay software open source bueno y software comercial bueno, lo único que pasa es que tú, con ése título de "la densidad de defectos en open source es astronómica" intentas llevar a pensar que opensource = malo.
Y ahora no vengas a decir que no, porque éso es como alguien que se tira un pedo y luego dice: eh, que no he sido yo!...

Pues la política tiene que ver con todo/s, porque al final, por una parte o por otra nos joden.
Véase Microsoft con el FUD que hace últimamente con las patentes y linux, o la SGAE con su impuesto revolucionario. Están a la misma altura: querer tomar el pelo a la gente.

Maligno dijo...

Hola anónimo,

no se pq no firmas con tu nombre, no te voy a hacer nada. Puedes opinar lo que desees.

Respecto a lo que dices, siento que no te hayas dado cuenta de las comillas en el título porque no es algo mio sino textual.

Siento que no te guste la opinión de este hombre. Ya sabes, las opiniones son como los culos, todo el mundo tiene uno.

Ahora si algún día quieres siempre podemos discutir de seguridad juntos.

Y además, no creo que te debas frustrar, creo que en la web, los blogs que más aumentan son los que dicen justo lo contrario que yo. Y en muchos casos y siempre, siempre, siempre, muy bien argumentado, no como yo, que lo tiro al azar y sin saber como se ve en todo lo que he escrito en este año y medio.

Bies!

Entradas populares