[FUG-BR] Código fonte infectado no FreeBSD

Paulo Henrique paulo.rddck em bsd.com.br
Domingo Maio 20 20:39:07 BRT 2012


Em 20 de maio de 2012 22:20, Juano Brozz <juanobrozz em gmail.com> escreveu:

> Antônio, você tem razão. Não tenho por objetivo induzir ao desuso do
> FreeBSD, pelo contrário, dada essa situação, ele é o mais recomendável
> frente a qualquer outro sistema. O objetivo é que com os comentários de
> todos os colegas eu possa estar mais ciente da situação/riscos, e mediante
> essa ciência tomar mais ou menos cuidado. Se você mora num condomínio
> fechado extremamente protegido talvez não faça muito sentido colocar alarme
> na sua casa.
>
> Gostaria de entender como funciona o processo de revisão, teste e aprovação
> de novas versões dos pacotes no lançamento de novas versões do FreeBSD.
> Ouvi dizer que o do Debian é bem elaborado. Alguém sabe sobre esse processo
> no FreeBSD?
>
> Em 20 de maio de 2012 19:01, Antônio Pessoa <atnpessoa em gmail.com>
> escreveu:
>
> > Não só a equipe do FreeBSD, todos aqueles que utilizarem o dito
> > código-fonte estarão na mesma situação, incluindo Linux, NetBSD e até
> > mesmo o OpenBSD. Pois este será baixado direto do site do
> > desenvolvedor por todos estes. Quem analisar o código e encontrar o
> > problema (e muitos o fazem) notificará ao dono do código sobre o
> > ocorrido, ele vai gerar outra versão, já corrigida, e todos vão
> > atualizar.
> >
> > No caso de software proprietário é que fica complicado, não tem fonte
> > para analisar.
> >
>

De fato, todos os sistemas possui como elo fraco da correte o
desenvolvedor,
Quanto ao FreeBSD, muito dos fatores apontados aqui encontra-se abordados
por [1]
Porem temos inumeras outras aplicacoes, cujo por si so ampliam
consideravelmente o recurso humano no desenvolvimento.
Considerando daemons comuns como apache, postgresql ja tornaria a lista
extensa.
Isso considerando que apenas pessoas de bem, contudo uma abordagem mais
ampla faz se necessario, principalmente em tratar-mos de outros fatores,
recuperar uma mancha causa por seguranca e de fato dificil, ainda mais em
se tratando em modo economico.
Digos que um dos fornecedores de software colabore com fontes, sendo esses
destinados a disponibilizar um recurso de extremo interesse a comunidade
open source, porem junto disponibilize brechas para serem usados no futuro,
em campanhas de marketing direcionados a seguranca.

A unica forma de contornar esse problema eh sermos analistas de nivel 6 ou
superior[2].

Ou partir claramente de presuposto que o sistema esta infectado, e usar
software proprietario, contudo exigindo do fornecedor garantias explicitas
com relacao a seguranca seja o unico modo viavel a nos meros mortais.

[1] -
http://www.freebsd.org/doc/en_US.ISO8859-1/books/developers-handbook/index.html
[2] - http://pqparar.blogspot.com.br/2009/05/os-8-niveis-de-analista.html


-- 
:=)><(=:
Disseram-me que confiar em humanos foi o unico erro que alguem que nao
existe cometeu.

Flamers > /dev/null !!!


Mais detalhes sobre a lista de discussão freebsd