Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
Usar a resposta de um software simplesmente é ser muito simplista e incompetente. É uma métrica e, portanto, um dado objetivo a que devemos prestar atenção. É *muito* melhor do que não ter análise estática para código em C que, como todos sabemos, é uma linguagem horrível em termos de segurança. Não adianta tapar o sol com a peneira... [ ]s Henry - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
2008/5/5 Renato Frederick [EMAIL PROTECTED]:
Senhores, isto de programa que analisa furo de segurança é furado por si só.
Eu não diria que é furado, mas o resultado deve ser sempre analisado
com cautela.
Ex, o famoso nessus. Ele é ótimo, ajuda muito a vida do administrador, mas
pensem o seguinte:
[...]
Coverity Prevent e Nessus abordam o problema de modos diferentes. O
primeiro faz análise estática, ou seja, verifica a lógica do programa
e detecta possíveis erros decorrentes dela. O segundo faz análise
dinâmica, exercitando o software sob teste em busca de casos este não
se comporte como deveria.
Eis um exemplo. Suponhamos que eu tenha um código em C assim:
#include sys/types.h
#include sys/socket.h
#define MAX_LISTENERS 10
[...]
struct {
int fd;
struct sockaddr addr;
} listeners[MAX_LISTENERS];
[...]
int i, nlisteners;
[...]
if (nlisteners MAX_LISTENERS) {
nlisteners = MAX_LISTENERS;
}
for (i = 1; i = nlisteners; i++) {
bind(listeners[i].fd, listeners[i].addr, sizeof(struct sockaddr));
}
Uma ferramenta de análise estática é capaz de detectar que existe um
erro off-by-one [1] no for *antes* da execução do programa. Uma
ferramenta de análise dinâmica faria esse erro aparecer se passasse
para o programa parâmetros que o fizessem tentar criar 10 sockets nos
quais escutar. Mesmo assim este resultado seria inconclusivo pois o
programa poderia morrer devido a um SIGSEGV [2] ou continuar rodando,
erroneamente, dependendo dos dados que estivessem na memória logo em
seguida do array listeners.
O mesmo vale para análise de código C. uma variável usada de um jeito pode
ser perigosa, mas no seu cenário não. Então quem vai afirmar o quão perigoso
é o código alarmado pelo software é a equipe de segurança da empresa.
Todo código errado é potencialmente perigoso. Somente uma equipe de
segurança muito relapsa estaria disposta a ignorar um possível cenário
sob a premissa de que isso não vai acontecer. Se pode acontecer
então o software está errado e deve ser consertado imediatamente.
Usar a resposta de um software simplesmente é ser muito simplista e
incompetente.
Sim, se o software for simplista e incompetente. Este não é o caso do
Coverity Prevent. Ele é uma ferramenta excelente cujos resultados, se
bem utilizados, ajudam a tornar o software muito mais robusto e
seguro.
Referências
1. http://en.wikipedia.org/wiki/Off-by-one_error
2. man 3 signal
--
Carlos A. M. dos Santos
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
2008/5/5 mantunes [EMAIL PROTECTED]: [...] Sou mais o diabinho do que coverity.[...] Isto não é uma disputa entre os dois, pelo contrário. Ao apontar possíveis erros no FreeBSD o Coverity ajuda muito o projeto. O que atrapalha é alguém olhar para os resultados e tirar deles conclusões precipitadas e fazer declarações alarmistas. até pq se ele faz alguma analise é baseando nas informações de que fez o programa baseando nas práticas de quem programou o Coverity esta certo? o será que ele tem Inteligência Artificial ou seja, é primeiro programa que tem vontade propria? O Coverity funciona estendendo o compilador C. Essa técnica foi desenvolvida no Laboratório de Sistemas Computacionais da Universidade de Stanford por Dawson Engler, Seth Hallem, Andy Chou e Ben Chelf. O artigo que a descreve [1] está disponível na página do autor [2], assim como muitos outros. 2008/5/2 Carlos A. M. dos Santos [EMAIL PROTECTED]: [...] A empresa em que trabalho usa esse software. Ele é realmente muito bom, mas é preciso tomar cuidado com a interpretação de seus resultados. O Coverity Prevent faz análise estática de código. [...] [...] O que o Colin Percival disse, educadamente, com leading to confusion, such as yours foi: o senhor não tem conhecimento suficiente para entender isso. Referências 1. http://www.stanford.edu/~engler/mc-osdi.pdf 2. http://www.stanford.edu/~engler/ -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
Carlos, minha análise não é de software de análise, não é de construção de código e muito menos de comprar nessus ou outra. O ponto que levanto é que nenhuma saída de programa sem um administrador conciso trará resultados úteis. Ex: Swap: 2048M Total, 75M Used, 1973M Free, 3% Inuse ow, preciso colocar mais RAM, meu servidor está fazendo uso de SWAP. Na vida real, analisando este caso, é na verdade um processo pauleira que está rodando agora e que consome bastante RAM, ficando o resto do dia idle. Sim, se o software for simplista e incompetente. Este não é o caso do Coverity Prevent. Ele é uma ferramenta excelente cujos resultados, se bem utilizados, ajudam a tornar o software muito mais robusto e seguro. Referências 1. http://en.wikipedia.org/wiki/Off-by-one_error 2. man 3 signal -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
2008/4/30 Welkson Renny de Medeiros [EMAIL PROTECTED]: Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois links: http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229_requestid=701086 Pelo que entendi da notícia, os números vêm de uma análise feita com o Coverity Prevent: http://www.coverity.com/html/prod_prevent.html A empresa em que trabalho usa esse software. Ele é realmente muito bom, mas é preciso tomar cuidado com a interpretação de seus resultados. O Coverity Prevent faz análise estática de código. Ele procura erros em códico em C do tipo variável não inicializada, índices inválidos em arrays e assim por diante. Muitos desses defeitos são considerados falhas de segurança porque eles podem fazer com que o software quebre. Não significa que o sistema possa ser invadido por um cracker ou coisa assim. Resumindo: mais um artigo que grita open source is not safe para atrair gente a uma página cheia de anúncios. Outra coisa que é preciso lembrar é que desde janeiro de 2006 o Coverity está disponível para ser usado pelos committers do FreeBSD. Isto está inclusive documentado no Committers Guide: http://www.freebsd.org/doc/en/articles/committers-guide/coverity.html http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara que tá conversando mer..? Como todo jornalista que se põe a falar cobre tecnologia ele fala merda. Ele obviamente não sabe como o Coverity funciona nem como é o código do FreeBSD. Na verdade eu duvido que ele esteja interessado em saber. A função dele é escrever coisas que pareçam revelações bombásticas de modo a atrair leitores e aumentar a contagem de page views. Com isso a IW pode cobrar mais dos anunciantes. E segue o baile... Havia 605 defeitos reportados em 1582166 linhas de códico em http://scan.coverity.com/rung1.html Isso dá uma média de um defeito a cada 2615 linhas, o que já é baixo. Além disso o Coverity Prevent não é perfeito e gera muitos falsos positivos, principalmente quando o código é muito rebuscado. Nesses casos o que se faz é reorganizar o código ou incluir um comentário contendo instruindo o coverity para ignorar o suposto erro. No final do texto do segundo link, Colin Percival fala sobre sobre os bugs nos últimos 4 anos, que tem falso-positivo, etc... O que o Colin Percival disse, educadamente, com leading to confusion, such as yours foi: o senhor não tem conhecimento suficiente para entender isso. -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
Obrigado CaSantos! Realmente o que eu imaginava... ótima explicação... -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Carlos A. M. dos Santos [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, May 02, 2008 12:28 PM Subject: Re: [FUG-BR]Me ajudem a entender essa notícia (FreeBSD) 2008/4/30 Welkson Renny de Medeiros [EMAIL PROTECTED]: Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois links: http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229_requestid=701086 Pelo que entendi da notícia, os números vêm de uma análise feita com o Coverity Prevent: http://www.coverity.com/html/prod_prevent.html A empresa em que trabalho usa esse software. Ele é realmente muito bom, mas é preciso tomar cuidado com a interpretação de seus resultados. O Coverity Prevent faz análise estática de código. Ele procura erros em códico em C do tipo variável não inicializada, índices inválidos em arrays e assim por diante. Muitos desses defeitos são considerados falhas de segurança porque eles podem fazer com que o software quebre. Não significa que o sistema possa ser invadido por um cracker ou coisa assim. Resumindo: mais um artigo que grita open source is not safe para atrair gente a uma página cheia de anúncios. Outra coisa que é preciso lembrar é que desde janeiro de 2006 o Coverity está disponível para ser usado pelos committers do FreeBSD. Isto está inclusive documentado no Committers Guide: http://www.freebsd.org/doc/en/articles/committers-guide/coverity.html http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara que tá conversando mer..? Como todo jornalista que se põe a falar cobre tecnologia ele fala merda. Ele obviamente não sabe como o Coverity funciona nem como é o código do FreeBSD. Na verdade eu duvido que ele esteja interessado em saber. A função dele é escrever coisas que pareçam revelações bombásticas de modo a atrair leitores e aumentar a contagem de page views. Com isso a IW pode cobrar mais dos anunciantes. E segue o baile... Havia 605 defeitos reportados em 1582166 linhas de códico em http://scan.coverity.com/rung1.html Isso dá uma média de um defeito a cada 2615 linhas, o que já é baixo. Além disso o Coverity Prevent não é perfeito e gera muitos falsos positivos, principalmente quando o código é muito rebuscado. Nesses casos o que se faz é reorganizar o código ou incluir um comentário contendo instruindo o coverity para ignorar o suposto erro. No final do texto do segundo link, Colin Percival fala sobre sobre os bugs nos últimos 4 anos, que tem falso-positivo, etc... O que o Colin Percival disse, educadamente, com leading to confusion, such as yours foi: o senhor não tem conhecimento suficiente para entender isso. -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
Andei olhando, o incrivel é o NetBSD.. que 1.405 erros defeitos reportados.. não vi nada com OpenBSD, linux. pq será ? Sou mais o diabinho do que coverity. até pq se ele faz alguma analise é baseando nas informações de que fez o programa baseando nas práticas de quem programou o Coverity esta certo ? o será que ele tem Inteligência Artificial ou seja, é primeiro programa que tem vontade propria ? 2008/5/2 Carlos A. M. dos Santos [EMAIL PROTECTED]: 2008/4/30 Welkson Renny de Medeiros [EMAIL PROTECTED]: Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois links: http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229_requestid=701086 Pelo que entendi da notícia, os números vêm de uma análise feita com o Coverity Prevent: http://www.coverity.com/html/prod_prevent.html A empresa em que trabalho usa esse software. Ele é realmente muito bom, mas é preciso tomar cuidado com a interpretação de seus resultados. O Coverity Prevent faz análise estática de código. Ele procura erros em códico em C do tipo variável não inicializada, índices inválidos em arrays e assim por diante. Muitos desses defeitos são considerados falhas de segurança porque eles podem fazer com que o software quebre. Não significa que o sistema possa ser invadido por um cracker ou coisa assim. Resumindo: mais um artigo que grita open source is not safe para atrair gente a uma página cheia de anúncios. Outra coisa que é preciso lembrar é que desde janeiro de 2006 o Coverity está disponível para ser usado pelos committers do FreeBSD. Isto está inclusive documentado no Committers Guide: http://www.freebsd.org/doc/en/articles/committers-guide/coverity.html http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara que tá conversando mer..? Como todo jornalista que se põe a falar cobre tecnologia ele fala merda. Ele obviamente não sabe como o Coverity funciona nem como é o código do FreeBSD. Na verdade eu duvido que ele esteja interessado em saber. A função dele é escrever coisas que pareçam revelações bombásticas de modo a atrair leitores e aumentar a contagem de page views. Com isso a IW pode cobrar mais dos anunciantes. E segue o baile... Havia 605 defeitos reportados em 1582166 linhas de códico em http://scan.coverity.com/rung1.html Isso dá uma média de um defeito a cada 2615 linhas, o que já é baixo. Além disso o Coverity Prevent não é perfeito e gera muitos falsos positivos, principalmente quando o código é muito rebuscado. Nesses casos o que se faz é reorganizar o código ou incluir um comentário contendo instruindo o coverity para ignorar o suposto erro. No final do texto do segundo link, Colin Percival fala sobre sobre os bugs nos últimos 4 anos, que tem falso-positivo, etc... O que o Colin Percival disse, educadamente, com leading to confusion, such as yours foi: o senhor não tem conhecimento suficiente para entender isso. -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
Senhores, isto de programa que analisa furo de segurança é furado por si só. Ex, o famoso nessus. Ele é ótimo, ajuda muito a vida do administrador, mas pensem o seguinte: Supondo que ele reporte que o php4 que você usa tem múltiplas vunerabilidades no módulo ABC. Mas você não usa o módulo ABC. E aí? OK, a versão do PHP é furada, mas no seu cenário, com o módulo desabilitado naoé furada :) O mesmo vale para análise de código C. uma variável usada de um jeito pode ser perigosa, mas no seu cenário não. Então quem vai afirmar o quão perigoso é o código alarmado pelo software é a equipe de segurança da empresa. Usar a resposta de um software simplesmente é ser muito simplista e incompetente. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of mantunes Sent: Monday, May 05, 2008 2:56 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR]Me ajudem a entender essa notícia (FreeBSD) Andei olhando, o incrivel é o NetBSD.. que 1.405 erros defeitos reportados.. não vi nada com OpenBSD, linux. pq será ? Sou mais o diabinho do que coverity. até pq se ele faz alguma analise é baseando nas informações de que fez o programa baseando nas práticas de quem programou o Coverity esta certo ? o será que ele tem Inteligência Artificial ou seja, é primeiro programa que tem vontade propria ? 2008/5/2 Carlos A. M. dos Santos [EMAIL PROTECTED]: 2008/4/30 Welkson Renny de Medeiros [EMAIL PROTECTED]: Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois links: http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid= QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229_requestid=701086 Pelo que entendi da notícia, os números vêm de uma análise feita com o Coverity Prevent: http://www.coverity.com/html/prod_prevent.html A empresa em que trabalho usa esse software. Ele é realmente muito bom, mas é preciso tomar cuidado com a interpretação de seus resultados. O Coverity Prevent faz análise estática de código. Ele procura erros em códico em C do tipo variável não inicializada, índices inválidos em arrays e assim por diante. Muitos desses defeitos são considerados falhas de segurança porque eles podem fazer com que o software quebre. Não significa que o sistema possa ser invadido por um cracker ou coisa assim. Resumindo: mais um artigo que grita open source is not safe para atrair gente a uma página cheia de anúncios. Outra coisa que é preciso lembrar é que desde janeiro de 2006 o Coverity está disponível para ser usado pelos committers do FreeBSD. Isto está inclusive documentado no Committers Guide: http://www.freebsd.org/doc/en/articles/committers- guide/coverity.html http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th. html Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara que tá conversando mer..? Como todo jornalista que se põe a falar cobre tecnologia ele fala merda. Ele obviamente não sabe como o Coverity funciona nem como é o código do FreeBSD. Na verdade eu duvido que ele esteja interessado em saber. A função dele é escrever coisas que pareçam revelações bombásticas de modo a atrair leitores e aumentar a contagem de page views. Com isso a IW pode cobrar mais dos anunciantes. E segue o baile... Havia 605 defeitos reportados em 1582166 linhas de códico em http://scan.coverity.com/rung1.html Isso dá uma média de um defeito a cada 2615 linhas, o que já é baixo. Além disso o Coverity Prevent não é perfeito e gera muitos falsos positivos, principalmente quando o código é muito rebuscado. Nesses casos o que se faz é reorganizar o código ou incluir um comentário contendo instruindo o coverity para ignorar o suposto erro. No final do texto do segundo link, Colin Percival fala sobre sobre os bugs nos últimos 4 anos, que tem falso-positivo, etc... O que o Colin Percival disse, educadamente, com leading to confusion, such as yours foi: o senhor não tem conhecimento suficiente para entender isso. -- Carlos A. M. dos Santos - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/
[FUG-BR] Me ajudem a entender essa notícia (Fr eeBSD)
Boa noite meus amigos! Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois links: http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229_requestid=701086 http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em softwares e sistemas operacionais... algo como FreeBSD é desatualizado, tem muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara que tá conversando mer..? No final do texto do segundo link, Colin Percival fala sobre sobre os bugs nos últimos 4 anos, que tem falso-positivo, etc... Comentem por favor. Abraço, -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
