Pages : 1
#1 Le 11/01/2006, à 23:38
- ShaLouZa
Des subventions pour sécuriser les codes Open Source
Des subventions pour sécuriser les codes Open Source
Quand l'Etat s'en mêle
Le ministère de l'intérieur américain compte financer deux sociétés et une université afin d'aider à la recherche de failles de sécurité dans les codes des logiciels Open Source. Le renforcement de la protection de ces codes Open Source pourrait bénéficier à la raison d'Etat, et les Usa ont donc été généreux dans le domaine.
1,24 millions de dollars au total
Les Etats-Unis débloqueront donc 1,24 million de dollars dans cette voie. C'est l'Université de Stanford qui se prendra la plus grosse part du magot, avec 841 276 dollars d'aides. Les USA ont aussi choisi deux sociétés à caractère commercial pour les reste des subventions.
Coverity aura la seconde part. Cette société spécialisée dans la recherche automatisée de failles logicielles recevra 297 000 dollars de subventions de la part de l'Etat américain. C'est ensuite le géant de la sécurité informatique grand public Symantec qui bénéficiera des 100 000 dollars restants, pour les destiner uniquement à la recherche sur les codes Open Source.
Un projet de sécurité nationale
Le programme « Vulnerability Discovery and Remediation, Open Source Hardening Project » est donc lancé. Stanford et Coverity vont construire et entretenir des systèmes automatisés de recherche de bugs et de failles de sécurité, qui examineront quotidiennement de nombreux codes destinés aux logiciels Open Source. Tous les problèmes trouvés seront mis à la disposition des développeurs.
« Une grande partie de l'infrastructure informatique cruciale de notre nation est basée sur de l'Open Source, et elle n'est pas réellement vérifiée de manière automatique » explique à CNet le professeur de Stanford Dawson Engler, qui pointe ici du doigt la problématique centrale du projet. Symantec se chargera de la recherche classique de failles de sécurité, pour compléter les travaux de Coverity et Stanford.
Parmi les logiciels Open Source concernés, on retrouvera les poids lourds du secteur, tels que Apache, BIND, Ethereal, KDE, Linux, Firefox, FreeBSD, OpenBSD, OpenSSL et MySQL, selon Coverity.
Du commercial dans le gratuit
L'idée vient en fait de Coverity, qui a commencé à fournir ses services grâcieusement à la communauté Open Source, tout en vendant ses programmes de vérification automatique aux sociétés de logiciels commerciaux. Coverity espère à l'occasion pouvoir améliorer ses outils de recherche grâce à cette coopération avec Stanford et Symantec.
ApacheCertains membres de la communauté Open Source ont accueilli la mesure avec quelques critiques. Ben Laurie, un des responsables de la Fondation Apache, regrette l'implication de sociétés commerciales et de leur technologie propriétaire dans le projet. Selon lui, ces recherches restent encore fermées, puisqu'elles sont menées par les sociétés en question. Laurie aurait préféré que les outils de vérification automatique des codes leur soient directement fournis.
Le professeur Engler admet en effet que le gouvernement paye pour des recherches propriétaires destinées à l'Open Source, mais il reste pragmatique : « C'est bien mieux que ce qu'ils ont maintenant, c'est-à-dire rien du tout. »
Ce «rien du tout» domine le marché des serveurs et fout la honte à la concurrence, Dugland. Encore un qui croit qu'il faut une société commerciale pour faire du code. Ça doit être un professeur de microsoftologie (science dérivée de la proctologie). 
«D'abord ils vous ignorent, puis ils rient de vous, puis ils vous combattent, puis vous gagnez.» Gandhi
Hors ligne
#2 Le 12/01/2006, à 00:04
- Eric P.
Re : Des subventions pour sécuriser les codes Open Source
Ce «rien du tout» domine le marché des serveurs et fout la honte à la concurrence, Dugland. Encore un qui croit qu'il faut une société commerciale pour faire du code. Ça doit être un professeur de microsoftologie (science dérivée de la proctologie).
Euh... non, la communauté du libre n'a pas d'outil d'évaluation de qualité de code qui "domine le marché des serveurs et fout la honte à la concurrence"[1]. C'est de ça que parler le mec de Coverity.
Cela dit, je ne suis pas convaincu que ce genre d'outil est vraiment si utile que ça. Ca trouve surtout des "failles possibles" mais pas forcément les vrais endroits où peuvent se cacher des failles.
Je trouverais plus utile que les Etats-Unis investissent directement dans les projets libres plutot que dans des programmes propriétaires pouvant l'aider.
[1] Cela dit, il en existe: j'utilise Valgrind qui, n'est pas un équivalent mais qui est capable de faire un check très très complet sur des programmes (compilés).
Hors ligne
#3 Le 12/01/2006, à 05:24
- Chompitiarve
Re : Des subventions pour sécuriser les codes Open Source
Trollons gentillement, et paranoïaquons furieusement, juste pour le fun:
Que feront ces boîtes si elles découvrent une faille dont le secret pourrait être une arme ?
Parce que à ces échelles d'humanisme forcené, je vois un shéma bien simple:
"Boîtes privées enormes, voici un deal du gouvernement:
On vous donne des sous, vous trouvez quelques babioles pour amuser les libristes rêveurs et leur montrer que vous bossez avec et pour eux, mais si vous levez un gros poisson, couic, secret défense, l'intêrêt national, blabla, la faille on se la garde, on vaccine nos seuls services, et on prie nos dévellopeurs du Pentagone de fabriquer le gros caca qui foutra l'Open source en l'air quand il nous fera de l'ombre."
Quand Nux sera assez gros pour faire ch***, on lui inventera sa myxomatose...
Mais c'est de la science fiction, bien-sûr
on ne ferait jamais une chose pareille au pays de la démocratie unique !
Qu'en pensez-vous, j'ai dit une connerie ?
Dernière modification par Chompitiarve (Le 12/01/2006, à 05:30)
Hors ligne
#4 Le 12/01/2006, à 07:54
- Bismut
Re : Des subventions pour sécuriser les codes Open Source
La vérité est ailleurs... mais maintenant que tu le dis... elle n'est peut-être pas si loin, qui sait ?... =/
Mac Mini 2009 avec Archlinux
Asus EeePC S101 avec Archlinux
HTC Magic avec Android
Hors ligne