[FUG-BR] Me ajudem a entender essa notícia (FreeBSD)

Renato Frederick frederick em dahype.org
Segunda Maio 5 16:17:34 BRT 2008 

Senhores, isto de programa que analisa furo de segurança é furado por si só.

Ex, o famoso nessus. Ele é ótimo, ajuda muito a vida do administrador, mas
pensem o seguinte:

Supondo que ele reporte que o php4 que você usa tem múltiplas
vunerabilidades no módulo ABC.
Mas você não usa o módulo ABC. E aí? OK, a versão do PHP é "furada", mas no
seu cenário, com o módulo desabilitado naoé furada :)

O mesmo vale para análise de código C. uma variável usada de um jeito pode
ser perigosa, mas no seu cenário não. Então quem vai afirmar o quão perigoso
é o código alarmado pelo software é a equipe de segurança da empresa.

Usar a resposta de um software simplesmente é ser muito simplista e
incompetente.


> -----Original Message-----
> From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> Behalf Of mantunes
> Sent: Monday, May 05, 2008 2:56 PM
> To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Subject: Re: [FUG-BR]Me ajudem a entender essa notícia (FreeBSD)
> 
> Andei olhando, o incrivel é o NetBSD.. que 1.405 erros defeitos
> reportados.. não vi nada com OpenBSD, linux. pq será ?
> 
> Sou mais o diabinho do que coverity. até pq se ele faz alguma analise
> é baseando nas informações
> de que fez o programa baseando nas práticas de quem programou o
> Coverity esta certo ? o será que ele
> tem Inteligência Artificial ou seja, é primeiro programa que tem
> vontade propria ?
> 
> 
> 2008/5/2 Carlos A. M. dos Santos <unixmania em gmail.com>:
> > 2008/4/30 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
> >
> >
> >  >  Estava lendo alguns artigos sobre Firebird, e me deparei com esses
> dois
> >  >  links:
> >  >
> http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=
> QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229&_requestid=701086
> >
> >  Pelo que entendi da notícia, os números vêm de uma análise feita com o
> >  Coverity Prevent:
> >
> >     http://www.coverity.com/html/prod_prevent.html
> >
> >  A empresa em que trabalho usa esse software. Ele é realmente muito
> >  bom, mas é preciso tomar cuidado com a interpretação de seus
> >  resultados. O Coverity Prevent faz análise estática de código. Ele
> >  procura erros em códico em C do tipo variável não inicializada,
> >  índices inválidos em arrays e assim por diante. Muitos desses defeitos
> >  são considerados falhas de segurança porque eles podem fazer com que o
> >  software quebre. Não significa que o sistema possa ser invadido por um
> >  cracker ou coisa assim. Resumindo: mais um artigo que grita "open
> >  source is not safe" para atrair gente a uma página cheia de anúncios.
> >
> >  Outra coisa que é preciso lembrar é que desde janeiro de 2006 o
> >  Coverity está disponível para ser usado pelos committers do FreeBSD.
> >  Isto está inclusive documentado no Committers Guide:
> >
> >      http://www.freebsd.org/doc/en/articles/committers-
> guide/coverity.html
> >
> >
> >  >
> http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.
> html
> >  >
> >  >  Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em
> >  >  softwares e sistemas operacionais... algo como FreeBSD é
> desatualizado, tem
> >  >  muitos bugs reportados e não corrigidos... traduzi errado? ou é esse
> cara
> >  >  que tá conversando mer..?
> >
> >  Como todo jornalista que se põe a falar cobre tecnologia ele fala
> >  merda. Ele obviamente não sabe como o Coverity funciona nem como é o
> >  código do FreeBSD. Na verdade eu duvido que ele esteja interessado em
> >  saber. A função dele é escrever coisas que pareçam revelações
> >  bombásticas de modo a atrair leitores e aumentar a contagem de "page
> >  views". Com isso a IW pode cobrar mais dos anunciantes. E segue o
> >  baile...
> >
> >  Havia 605 defeitos reportados em 1582166 linhas de códico em
> >
> >      http://scan.coverity.com/rung1.html
> >
> >  Isso dá uma média de um defeito a cada  2615 linhas, o que já é baixo.
> >  Além disso o Coverity Prevent não é perfeito e gera muitos falsos
> >  positivos, principalmente quando o código é muito rebuscado. Nesses
> >  casos o que se faz é reorganizar o código ou incluir um comentário
> >  contendo instruindo o coverity para ignorar o suposto erro.
> >
> >
> >  >  No final do texto do segundo link, Colin Percival fala sobre sobre
> os bugs
> >  >  nos últimos 4 anos, que tem falso-positivo, etc...
> >
> >  O que o Colin Percival disse, educadamente, com "leading to confusion,
> >  such as yours" foi: o senhor não tem conhecimento suficiente para
> >  entender isso.
> >
> >  --
> >  Carlos A. M. dos Santos
> >
> >
> > -------------------------
> >  Histórico: http://www.fug.com.br/historico/html/freebsd/
> >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> 
> --
> Marcio Antunes
> Powered by FreeBSD
> ==================================
> * Windows: "Where do you want to go tomorrow?"
> * Linux: "Where do you want to go today?"
> * FreeBSD: "Are you, guys, comming or what?"
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd