Jak bezpečný je zdrojový kód?

Vývojář Arch Linuxu Allan McRae si v souvislosti s přidáním schopnosti kontrolovat PGP podpisy zdrojových kódů do nástroje makepkg začal všímat toho, jak mnoho projektů zveřejňuje svůj kód, aniž by poskytlo možnost ověření. Vytvořil tedy přehled verifikovatelnosti zdrojových kódů základních projektů, jež umožní sestavení jádra distribuce. Patnáct procet uvedných projektů neumožňuje žádnou verifikaci zdrojových kódů. Z projektů nabízejících dobrou míru ověřitelnosti pak je většina GNU software, u nejž je podepisování standardem. Z rychlého průzkumu mezi dalšími projekty se navíc zdá, že situace tam je ještě horší. V takovém případě poskytuje podepisování balíčků a repozitářů distribucí spíše falešný pocit bezpečí.

Komentáře

Papežštější než papež

Celých dlouhých 10 let s*ali, snad jako jediná linuxová distribuce, na podepisování distribučních balíčků a teď budou najednou poukazovat že chybí u zdrojáků upstreamu. Ať se jdou zahrabat …

12.4.2012 12:17 Satai
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Beru to spis jako upozorneni na to, ze podepisovani balicku muze byt za urcitych okolnosti jen bezpecnostnim divadlem.

12.4.2012 12:20 mrv
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

OMG

12.4.2012 21:07 Snurka
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Co tady dela tenhle spam? Administrátoři tohohle serveru ho měli již dávno smazat!

13.4.2012 00:49 Redi
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Ano, tebe.

14.4.2012 12:02 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Příloha:

ymbnh.jpg (27651 bytů)

blog.rfox.eu

12.4.2012 14:13 otula | skóre: 45 | blog: otakar | Adamov
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

a teď budou najednou poukazovat že chybí u zdrojáků upstreamu

Vadí ti, že na to upozornil? Z jakého důvodu? A kdyby na to upozornil Pepa z Depa, tak by to bylo OK?

Kdo vám tvrdí, že jste paranoidní, ten v tom spiknutí s největší pravděpodobností jede taky.

12.4.2012 15:34 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Právě proto, že je pořád někdo kritizoval, že balíčky nepodepisují, je jedině fér když teď upozorní na to, že i když podepisování už zavedli se stejně vlastně nic moc nemění, protože nepodepisuje samotný upstream. Že je to tedy vlastně tak trochu divadlo.

Třeba tím alespoň někoho z upstreamu k tomu podepisování dokopou, tak jako uživatelé dokopali je...

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

16.4.2012 22:15 Vladimír Čunát | skóre: 19
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

+1 moje řeč (ač jsem Arch nikdy nepoužíval)

12.4.2012 15:55 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Papežštější než papež

To je pěkný, takže když vím o podobném problému, jako jsem měl já, tak mám držet hubu.

Celých dlouhých 10 let s*ali, snad jako jediná linuxová distribuce, na podepisování distribučních balíčků a teď budou najednou poukazovat že chybí u zdrojáků upstreamu. Ať se jdou zahrabat …

Nikdo na to nesral, nebyli na to lidi. Arch na rozdíl od většiny (ne-li všech) ostatních distribucí nemá jediného placeného vývojáře. Diskuze o podepisování balíčků se objevovali pravidelně, ale kdykoliv došlo na to, aby tti, co nejvíc o podepisování křičí něco udělali, diskuse záhadně skončila. Abych ale nekřivdil všem, možná jednou, dvakrát, se v tom kdosi začal vrtat, ale bez výsledků.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

13.4.2012 08:12 lmb
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Na implementaci toho podepisování nic složitýho nebylo. Osobně jsem si vyměňoval na toto téma a o pacmanovi + ABS korespondenci maintainerem cactusem. Dokonce jsem mu poslal funkční řešení (ke každýmu sestavenýmu balíčku vygenerování .asc souboru s gnupg podpisem, verifikace před instalací), ale z jeho strany těžkej nezájem, resp. chtěl abych to přepsal z bashe do pythonu. Na to jsem se mu už ale zvysoka vy…

13.4.2012 10:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Takže nevyhovoval bash? To může být celkem pochopitelné.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.4.2012 08:22 lmb
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Jinak byla sranda s nima rozebírat třeba funkcionalitu pacmana, kdy se mě snažili přesvědčovat, že třeba hledání instalačního balíčku podle adresáře není a nebude, protože prázdné (bez cílového souboru) neexistují a že je to zbytečné. Když jsem jim konkrétně doložil u min. pěti balíčků z Core, že se mýlí, tak jen hráli mrtvého brouka. Opakovaně jsem měl možnost se přesvědčit o jejich nekompetentnosti a aroganci. Už je to ale dýl, možná se už ve vedení něco změnilo, ale mě to už nezajímá, přešel jsem na jinou distribuci a nehodlám se vracet.

13.4.2012 20:31 Milra
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Takze zhrzeny uzivatel s pifkou na Archa. A na kterou dokonalou distribuci racila tvoje milost prejit?

13.4.2012 20:59 bubla
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Arogantní jsou sice fest (taky mám tu zkušenost), ale pokud makají, tak se člověk musí přizpůsobit jim.

A tak je tomu i v životě :-)

jenom pro zajimavost, verifikace se cesky rekne overeni.

14.4.2012 00:01 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Verifikace už česky je :)

14.4.2012 10:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

A jak se česky řekne validace?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.4.2012 14:33 Martin Mareš
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Jaký vlastně cítíš rozdíl mezi verifikací a validací? Já je vnímám jako hodně podobná a dost obecná slova, jejichž přesný význam je tak jako tak dán kontextem, typicky tím, že řekneš, že se jedná o verifikaci/validaci/ověření nějaké vlastnosti.

14.4.2012 21:18 Tomáš | skóre: 31 | blog: Tomik
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Anglicko-český slovník nabízí překlad validation=potvrzení. V používání těchto slov v češtině je dost velký nepořádek, takže se na jednotném výkladu asi neshodneme. Já to vnímám asi takhle: verifikace je to, když kontroluje že jsem dostal to, co mi někdo odeslal (že nedošlo k chybě při přenosu), validace je pak to, že přijatá data jsou podle nějakých kritérií správná (třeba že XML soubor vypadá tak, jak má vypadat XML soubor, tedy je validní).

14.4.2012 21:51 Martin Mareš
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

No jo, ale třeba takovému (často strojovému) ověřování, že program dělá to, co bylo specifikováno, se říká verifikace, stejně tak kontrole certifikátů v SSL.

15.4.2012 08:40 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Pointa v pointě :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

16.4.2012 18:59 MaT | skóre: 28
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

No, to řešíte jen použití v ICT, ale slovo validace se teď také skloňuje ve všech pádech v různých laboratořích - biochemických, genetických...

Open source software for open minded people. :-)

16.4.2012 19:27 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Terminologie z oblasti metrologie (2. vydání) (což je český překlad International Vocabulary of Terms in Legal Metrology) radí slovo validace raději nepřekládat. :) Verifikaci překládá jako ověřování. Viz 2.44 a 2.45.

16.4.2012 04:49 LaLa
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Verifikace validity? ;-)

16.4.2012 08:14 Honz
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Venerifikace invalidity...

16.4.2012 15:41 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Jak bezpečný je zdrojový kód?

Talking about music is like dancing to architecture.