Symantec признала Windows самой защищённой системой

[Djalolatdin Rakhimov]

Директор по стратегии подразделения Microsoft по технологиям безопасности Джефф Джонс сообщил, что за первые 90 дней после выхода Vista в новой операционной систем обнаружено гораздо меньше уязвимостей, чем было найдено в Windows XP, в Mac OS X 10.4 (Tiger), в Red Hat Enterprise Linux 4 Workstation, в Ubuntu 6.06 LTS и в Novell SuSE Linux Enterprise Desktop 10 за первые три месяца после появления каждой из этих ОС. По словам Джонса, за упомянутый промежуток времени в Vista была устранена всего одна дыра - в механизме сканирования на вредоносный код, встроенном в межсетевой экран Windows Defender. Для сравнения, в XP за аналогичный период было исправлено 14 ошибок безопасности, в Mac OS X - 20, в Red Hat - 137, в Ubuntu - 17, в SUSE - 80. Джонс указал также, что даже с учетом уязвимостей, обнаруженных в первые три месяца, но не исправленных, Vista опережает конкурентов - в ней нашлось в общей сложности всего пять дыр, тогда как в XP - 18, в Mac OS X - 27, в Red Hat - 201, в Ubuntu - 100, а в SUSE - 111.
http://www.osp.ru/news/2007/0328/4096515/

[Ахадбек Далимов]

Цитата:

Сообщение от Daniyar Atadjanov

Symantec не колбасит.
...


Тот факт, что дыр найдено меньше и что они латаются быстрее, конечно, выделяет Microsoft среди других ОС-вендоров, но это не повод для заявлений о ней, как о "самой безопасной", т. к. следует учитывать следующие очень важные факторы:

• Исходный код Windows закрыт, а код Red Hat Linux свободно доступен для изучения. Дыры в Windows, в силу закрытости её исходного кода, находят экспериментальным путем. В то время, как для поиска уязвимостей в Linux достаточно открыть исходники. Найти уязвимость во втором случае, конечно, проще и быстрее..

Данияр- спасибо за комент (в принципе правильный), но не согласен с некоторыми вашими заявлениями
Код МС готова открыть - не всем, специалистам по безопасности, гос. органам, сомневающимся товарищам итд читайте здесь:
http://www.microsoft.com/rus/news/is...ource_open.xml
Кстати насчет анализа и поиска уязвимостей - даже в случае доступа к коду, более быстрое нахождения уязвимостей - вопрос еще тот. Это надо быть оч. оч. крутым спецом чтобы понять чужую мысль, да еще и закодированную (без намеков). чаще все поступают проще - ждут от авторов исправлений

а насчет признания продуктов МС наиболее безопасными - тут есть факты, например в россии:
http://www.microsoft.com/Rus/Securit...e/Default.mspx
ну а по миру можно в гугле спросить???

Цитата:

Сообщение от Daniyar Atadjanov

Symantec не колбасит.
...

• ...
• Сравнение абсолютно некорректное по той причине, что в случае с Windows подсчитывались дыры исключительно самой операционной системы, в то время как при подсчете дыр Red Hat Linux, считались также уязвимости прикладных программ других производителей, входящих в дистрибутив (об этом ниже)
• Не учитывалась критичность уязвимостей
• Не учитывалось наличие эксплойтов к найденным этим дырам (этот пункт идет явно не в пользу Windows).
• Определение среднего времени выпуска патчей к уязвимостям разной степени критичности, по моему мнению, неправильно. Лучше выводить среднее из каждого типа уязвимостей (по степени риска) в отдельности.

Ещё раз - Symantec таких заявлений не делала. Наоборот, их отчет удивительно интересный и хорошо аргументированный. Его можно скачать здесь.

никакой однозначности в плане "самой защищенной системы" в отчете Symantec нет.


....

Тут я с вами полностью готов согласится, хотя время выпуска обновлений и патчей у МС (особенно на критические с точки зрения самой МС,) достаточно быстрое.
к тому же МС раз в месяц (если память не подводит) выпускает исправления и не только для ОС но и для приложений!.
Более того у нас разработаны рекомендации по построению защищенной ИТ инфраструктуры - соблюдение которых позволяет пользователям быть уверенными на 99% в том, что их система надежна, и/или степень поражения эксплойтами будет сведена к минимуму.
Читайте здесь:
http://www.microsoft.com/rus/technet...y/default.mspx
8)

[Daniyar Atadjanov]

Ахадбек Далимов, спасибо за понимание Сначала хотелось бы заявить об абсурдности поиска "самой защищенной" ОСи именно в том смысле, в котором новость была преподнесена. Убежден, что самая защищенная ОСь та, которую вы лучше всего знаете. Из любой ОСи-"конфетки" можно сделать дуршлаг, и наоборот.

Теперь по поводу ваших заявлений. Я в курсе, что МС предоставляет исходники для правительств разных стран и т. д. Но, насколько я понимаю, это направлено в первую очередь на то, чтобы доказать отсутствие "закладок" в ПО и для сертификации системы по внутренним стандартам страны. Очень сомневаюсь, что специалисты из правительства, спецслужб или сертифицирующих органов будут целенаправленно искать в системе "дыры". Ну какой им смысл? Совсем другое дело - огромное количество хакеров по всему миру, которые занимаются поиском уязвимостей и написанием эксплойтов к ним. Они получают от этого как минимум удовольствие, а обычно и материально обогащаются. Так что сравнивать в этом плане Виндовс и Линукс ну никак нельзя.

Теперь по поводу скорости латания "дыр". Снова прошу не рассматривать этот критерий в отрыве от критичности уязвимостей. Да, раз в месяц МС выпускает апдейты, но сколько раз уже было такое, когда были найдены критические уязвимости в важных элементах системы, а МС заявляло о том, что исключения не сделает и закроет "дыру" только вместе с очередным патчем в следующем месяце. Затем сторонние разработчики выпускали свои неофициальные патчи. Если не ошибаюсь, так было например, в сентябре-октябре прошлого года с критической уязвимостью в ослике (линков привести не могу, т. к. пишу с мобильного). Убежден: с точки зрения безопасности не так важно количество "дыр" вообще, сколько то время, которое вендор оставляет без внимания уязвимости среднего и высокого уровня риска.

[Ахадбек Далимов]

Цитата:

Сообщение от Daniyar Atadjanov

Ахадбек Далимов, спасибо за понимание Сначала хотелось бы заявить об абсурдности поиска "самой защищенной" ОСи именно в том смысле, в котором новость была преподнесена. Убежден, что самая защищенная ОСь та, которую вы лучше всего знаете. Из любой ОСи-"конфетки" можно сделать дуршлаг, и наоборот.

Без комментариев, хотя нет? один коментарий дам - начиная с Windows XP SP2 и продолжая в Windows Vista и новейших приложениях - мы немного изменили (читай в корне изменили) свой подход к выпускаемому ПО, которое могут устанавливать пользователи:-изначально закрыв все что можно закрыть, так чтобы дуршлаг (если они его хотят получить) получался осознано. А так самая безопасная система- это мертвая система

Цитата:

Сообщение от Daniyar Atadjanov

....
Теперь по поводу ваших заявлений. Я в курсе, что МС предоставляет исходники для правительств разных стран и т. д. Но, насколько я понимаю, это направлено в первую очередь на то, чтобы доказать отсутствие "закладок" в ПО и для сертификации системы по внутренним стандартам страны. Очень сомневаюсь, что специалисты из правительства, спецслужб или сертифицирующих органов будут целенаправленно искать в системе "дыры". Ну какой им смысл? ...

если вы в курсе что код предоставляется - то почему пишите о закрытости кода? Он открыт, для специалистов, и не только для того чтобы убедится, что нет закладок. в приведенных мною ссылках были даны, кроме всего прочего, еще и критерии сертификации (российских органов) - на соответсвие которым и проверялся код

Цитата:

Сообщение от Daniyar Atadjanov

....Совсем другое дело - огромное количество хакеров по всему миру, которые занимаются поиском уязвимостей и написанием эксплойтов к ним. Они получают от этого как минимум удовольствие, а обычно и материально обогащаются. Так что сравнивать в этом плане Виндовс и Линукс ну никак нельзя....

Именно поэтому доступ к коду МС и ограничен достаточно узким кругом специалистов и организаций, когда мы имеем гарантии того, что утечки кода на сторону не будет, и соответственно будет меньше вреда от гениев-злоумышленников(редиски (я хакерами привык называть достойных людей)). В случае же с ОСС мы имеем обратную картину, и именно поэтому позволил себе оспорить ваше мнение о более быстром нахождении проблемных мест. Его можно двояко толковать.

Цитата:

Сообщение от Daniyar Atadjanov

....
Теперь по поводу скорости латания "дыр". Снова прошу не рассматривать этот критерий в отрыве от критичности уязвимостей. Да, раз в месяц МС выпускает апдейты, но сколько раз уже было такое, когда были найдены критические уязвимости в важных элементах системы, а МС заявляло о том, что исключения не сделает и закроет "дыру" только вместе с очередным патчем в следующем месяце. Затем сторонние разработчики выпускали свои неофициальные патчи. Если не ошибаюсь, так было например, в сентябре-октябре прошлого года с критической уязвимостью в ослике (линков привести не могу, т. к. пишу с мобильного). Убежден: с точки зрения безопасности не так важно количество "дыр" вообще, сколько то время, которое вендор оставляет без внимания уязвимости среднего и высокого уровня риска....

А я с вами полностью согласился - и хотел бы добавить только, что кроме скорости выпуска вендором критичных заплаток, нужно еще брать в расчет, скорость применения этих заплаток пользователями - пример: нашумевшая в свое время уязвимость в SQL Server (2000 если не ошибаюсь). О проблеме было сообщено задолго до появления собственно эксплойта. Заплатка была выпущена через 3 месяца после первого сообщения об уязвимости, и что мы имели - через 6 месяцев после выхода патча, злоумыщленники выпускают эксплойт, который быстренько поражает все непропатчанные системы!!!
Кстати этот пример показывает - что скорость выхода патчей от МС в среднем увеличилась в 3 раза! и составляет максимум 1 месяц.

кстати о подходе, по разработке безопсного кода,который МС использует у себя и рекомендует другим производителям ПО можно почитать здесь:
http://www.pc.uz/files/ms/20070417/security.ppt
а послушать можно было на семинаре 17 апреля 2007 года, для разработчкиков, куда к сожалению разработчики из УЗИНФОКОМ не пришли

[Daniyar Atadjanov]

Цитата:

Сообщение от Ахадбек Далимов

А так самая безопасная система- это мертвая система

Тоже вариант

Цитата:

Сообщение от Ахадбек Далимов

если вы в курсе что код предоставляется - то почему пишите о закрытости кода? Он открыт, для специалистов, и не только для того чтобы убедится, что нет закладок. в приведенных мною ссылках были даны, кроме всего прочего, еще и критерии сертификации (российских органов) - на соответсвие которым и проверялся код

Просто у нас с вами разное понимание "открытости". Но мы уже ушли не в ту степь.

Прошелся по вашим ссылкам. Как и предполагал, речь идет о повышении "доверия" к продуктам (да, те самые "закладки", вернее их отсутствие) и сертификации (плюс адаптация Виндоус и использование в ней сертифицированных в России средств шифрования). Не более.

Цитата:

Сообщение от Ахадбек Далимов

Именно поэтому доступ к коду МС и ограничен достаточно узким кругом специалистов и организаций, когда мы имеем гарантии того, что утечки кода на сторону не будет, и соответственно будет меньше вреда от гениев-злоумышленников(редиски (я хакерами привык называть достойных людей)). В случае же с ОСС мы имеем обратную картину, и именно поэтому позволил себе оспорить ваше мнение о более быстром нахождении проблемных мест. Его можно двояко толковать.

Спасибо, что разъяснили.

Модель ОСС-разработки здесь, конечно, имеет примущество. Для МС невыгодно, чтобы пользователь ставил неофициальный патч - он может нарушить работу других компонентов системы, в какой-то степени бьет по репутации и т. д., в то время как в ОСС, любой человек, который в состоянии это сделать, может написать и выслать патч команде разработчиков. Да и пользователь может временно использовать "самописные" сторонние патчи, а затем, при выходе официального - откатиться назад и установить "вендорский".

Цитата:

Сообщение от Ахадбек Далимов

А я с вами полностью согласился - и хотел бы добавить только, что кроме скорости выпуска вендором критичных заплаток, нужно еще брать в расчет, скорость применения этих заплаток пользователями - пример: нашумевшая в свое время уязвимость в SQL Server (2000 если не ошибаюсь). О проблеме было сообщено задолго до появления собственно эксплойта. Заплатка была выпущена через 3 месяца после первого сообщения об уязвимости, и что мы имели - через 6 месяцев после выхода патча, злоумыщленники выпускают эксплойт, который быстренько поражает все непропатчанные системы!!!
Кстати этот пример показывает - что скорость выхода патчей от МС в среднем увеличилась в 3 раза! и составляет максимум 1 месяц.

Могу высказаться по поводу ситуации с SQL Server. Как правило, в сообщениях об уязвимостях указывается степень критичности "дыры". При этом (как при обычном анализе рисков) учитывается величина возможного ущерба и вероятность реализации угрозы. Оба этих критерия (особенно последний) сильно зависят от наличия/отсутствия эксплойта на момент публикации информации об уязвимости, а наличие работающего эксплойта для взломщиков - 50% успеха. Поэтому, при отсутствии эксплойта, "дырке" присваивают меньший уровень риска.

Пользователь софта, конечно, в первую очередь пытается закрыть уязвимости с уровнем риска выше среднего, отсюда и пассивность. Кроме того, через определенное время, ажиотаж вокруг "дыры" спадает и юзеры просто про неё забывают.

Цитата:

Сообщение от Ахадбек Далимов

кстати о подходе, по разработке безопсного кода,который МС использует у себя и рекомендует другим производителям ПО можно почитать здесь:
http://www.pc.uz/files/ms/20070417/security.ppt
а послушать можно было на семинаре 17 апреля 2007 года, для разработчкиков, куда к сожалению разработчики из УЗИНФОКОМ не пришли

Спасибо, отошлем нашим девелоперам

[German Stimban]

А какже OpenBSD? Если не ошибаюсь, в ней найдено всего 2 уязвимости. Точнее 1 уязвимость и одну ошибку в установке по умолчанию

[Daniyar Atadjanov]

Цитата:

Сообщение от wild_John

А какже OpenBSD?

А что - OpenBSD? Система как система, просто "вылизали" основной код и перепроверяют его, а из программ по умолчанию ставится самый-самый минимум. Установочная исошка OpenBSD 4.0 весила всего 200-300 Мб.

Цитата:

Сообщение от wild_John

Если не ошибаюсь, в ней найдено всего 2 уязвимости. Точнее 1 уязвимость и одну ошибку в установке по умолчанию

Девиз системы - "Secure by default" (Безопасность по умолчанию). На сайте написано - "Две удаленные уязвимости при установке по умолчанию за более, чем десять лет". Первая удаленная дыра была найдена в sshd. Вторая была найдена в прошлом месяце - ошибка в буфере mbuf для ICMP6 пакетов.

Кстати, релиз OpenBSD 4.1 выйдет по плану - завтра (1 мая).

[Ахадбек Далимов]

Цитата:

Сообщение от Daniyar Atadjanov

Просто у нас с вами разное понимание "открытости". Но мы уже ушли не в ту степь.

Так выступаю уже как представитель МС (т.е. не личное мнение - там где оно будет личным буду давать знать отдельно8) ) - ну раз такое дело - то давайте уж к общему знаменателю придем, выдавайте свое определение открытости. степь будет та же

Цитата:

Сообщение от Daniyar Atadjanov

Прошелся по вашим ссылкам. Как и предполагал, речь идет о повышении "доверия" к продуктам (да, те самые "закладки", вернее их отсутствие) и сертификации (плюс адаптация Виндоус и использование в ней сертифицированных в России средств шифрования). Не более.

Вот этого от вас не ожидал - а ссылочки внизу странички открывать пробовали (там где описаны критерии на которые проверялись продукты).
Без обид - но звание обязывает - раз уж вы эксперт по безопасности то при высказывании мнения должны стараться быть максимально беспристрастным, вне зависимости от того какую платформу, вы лично предпочитаете. (ИМХО).
А там более чем хватает информации! надеюсь посетители ветки были более внимательны и сходили по ссылкам.
И вы к сожалению проигнорировали совет поискать на Гугле.
Так вот платформа Windows сертифицирована на 4 уровне Common Criteria. ссылки здесь (только просьба внимательно прочитать и документик по второй ссылке скачать для служебного пользования).
http://www.microsoft.com/presspass/p...riteriaPR.mspx
http://www.microsoft.com/technet/sec...ccc/cccwp.mspx

Цитата:

Сообщение от Daniyar Atadjanov

....Спасибо, что разъяснили.

Модель ОСС-разработки здесь, конечно, имеет примущество. Для МС невыгодно, чтобы пользователь ставил неофициальный патч - он может нарушить работу других компонентов системы, в какой-то степени бьет по репутации и т. д., в то время как в ОСС, любой человек, который в состоянии это сделать, может написать и выслать патч команде разработчиков.

Опять позволю не согласится с Вашим выводом:
1) совсем не обязательно дожидаться официального релиза, и установка "нефирменного патча" никоим образом не может ударить по престижу МС, она только может спасти ситуацию (у заказчика). В то же время, согласен, что если сторонняя заплатка сделана не професионально, то это может привести к еще более плачевным последствиям. Но к этому же результату можно придти и в случае с ОСС, и даже в случае с фирменной заплаткой. Поэтому основная рекомендация - прежде чем патчить "производственную систему", откатать заплатки на тестовой платформе. Понимаете ли окружение у всех разное (гетерогенное, и вариаций может быть ...).

Цитата:

Сообщение от Daniyar Atadjanov

Могу высказаться по поводу ситуации с SQL Server. .....
Пользователь софта, конечно, в первую очередь пытается закрыть уязвимости с уровнем риска выше среднего, отсюда и пассивность. Кроме того, через определенное время, ажиотаж вокруг "дыры" спадает и юзеры просто про неё забывают.

Ну я привел этот пример не случайно (просто он был достаточно ярким, но не только по этой причине). К великому сожалению именно этой ошибке была присвоена достаточная степень критичности. И когда Эксплойт таки появился - в сети, и не только, столько шуму было!!! Но он быстренько утих - когда разобрались, кто и в чем виноват.
Как вы уже заявляли "доклад Симантека - очень интересный документ". Я его тоже прочитал (причем по выходе, подписан на новости, да и уважаю команду эту). Да таких заявлений как Виста самая безопасная - не сделано, да и не сделают. Однако в том же докладе говорится, что благодаря Secure Development Lifecycle (SDL), МС удалось таки добиться того, что ОС (Виста) и приложения от нее стали на ступень выше по критериями безопасности. Там же ниже говорится, что теперь угроза исходит от продуктов третьих поставщиков, которые еще не применили SDL, или не разработали аналогичных стратегий. Более того - как специалисты они не рекомендуют полагаться исключительно на совершенство продуктов МС (имея ввиду Висту), а призывают пользователей продолжать работу над совершенствованием системы ИТ безопасности (в чем я лично с ними абсолютно согласен).

Цитата:

Сообщение от Daniyar Atadjanov

Спасибо, отошлем нашим девелоперам

А я эту ссылку не только для Ваших девелоперов заготовил. Думаю и вам будет интересно, как экперту, ознакомиться с данной стратегией.

[Daniyar Atadjanov]

Цитата:

Сообщение от Ахадбек Далимов

Так выступаю уже как представитель МС (т.е. не личное мнение - там где оно будет личным буду давать знать отдельно8) ) - ну раз такое дело - то давайте уж к общему знаменателю придем, выдавайте свое определение открытости. степь будет та же

Давайте я тоже дам знать! Здесь я раскрыл реальную суть новости и отстаиваю свою точку зрения по сопутствующим вопросам.

По поводу открытости: код предоставляемый правительству и сертифицирующим органам все равно закрыт. Не в плане опенсорсности/проприетарности, не это мы сейчас обсуждаем. А закрыт от тех, кто собственно занимается именно поиском "дыр".

Цитата:

Сообщение от Ахадбек Далимов

Вот этого от вас не ожидал - а ссылочки внизу странички открывать пробовали (там где описаны критерии на которые проверялись продукты).

.. / cut / ...

А там более чем хватает информации! надеюсь посетители ветки были более внимательны и сходили по ссылкам.
И вы к сожалению проигнорировали совет поискать на Гугле.
Так вот платформа Windows сертифицирована на 4 уровне Common Criteria. ссылки здесь (только просьба внимательно прочитать и документик по второй ссылке скачать для служебного пользования).
http://www.microsoft.com/presspass/p...riteriaPR.mspx
http://www.microsoft.com/technet/sec...ccc/cccwp.mspx

Опять вы про сертификацию. Я ведь об этом в самом начале говорил? Что может для сертификации код и предоставляется, но от этого поиск "дыр" не сильно упрощается. Повторю изначальную мысль упрощенно: поиск широкой общественностью (в первую очередь - хакерской) уязвимостей в закрытом коде ЗНАЧИТЕЛЬНО сложнее, чем в открытом. В первом случае, это фактически метод проб и ошибок или дебаггинг. Во втором - готовый текст перед глазами.

Скажите, сертифицирующий орган ищет уязвимости в коде (напомню, изначальный смысл этой темы: количество найденных и закрытых "дыр", а также среднее время, потраченное на выпуск апдейта)? Тот 4-й уровень "Общих критериев", о котором вы говорите, подразумевает во-первых, наличие продуманного механизма поиска уязвимостей, латания "дыр" и оповещения пользователей. Но от этого количество найденных уязвимостей в самом коде не меняется!

Во-вторых, проверяются используемые алгоритмы шифрования, проверки по другим профилям защиты (ПЗ). Кстати, и в реализации этих самых алгоритмов могут быть критические ошибки. Не ищут подобные сертифицирующие органы самих "дырок" в коде. Иначе наличие сертификата означало бы отсутствие уязвимостей или их ничтожно малое количество (абсурд).

Знаю, что у МС внутри есть отдел, занимающийся перепроверкой кода на дырки. Возможно, МС привлекает для этого и аутсорсеров, но это другое.

Цитата:

Сообщение от Ахадбек Далимов

Без обид - но звание обязывает - раз уж вы эксперт по безопасности то при высказывании мнения должны стараться быть максимально беспристрастным, вне зависимости от того какую платформу, вы лично предпочитаете. (ИМХО).

Ткните пальцем, где я сказал, что Виндовс - плохая система? Как "безопасник" мной уже была высказана мысль о том, какую ОСь можно считать безопасной.

Цитата:

Сообщение от Ахадбек Далимов

Опять позволю не согласится с Вашим выводом:
1) совсем не обязательно дожидаться официального релиза, и установка "нефирменного патча" никоим образом не может ударить по престижу МС, она только может спасти ситуацию (у заказчика). В то же время, согласен, что если сторонняя заплатка сделана не професионально, то это может привести к еще более плачевным последствиям. Но к этому же результату можно придти и в случае с ОСС, и даже в случае с фирменной заплаткой. Поэтому основная рекомендация - прежде чем патчить "производственную систему", откатать заплатки на тестовой платформе. Понимаете ли окружение у всех разное (гетерогенное, и вариаций может быть ...).

В принципе согласен. Просто в моем контексте я делал упор именно на модель ОСС-разработки. Там производителю проще, и чем сильнее комьюнити, тем больше это заметно.

[Ахадбек Далимов]

Цитата:

Сообщение от Daniyar Atadjanov

Давайте я тоже дам знать! Здесь я раскрыл реальную суть новости и отстаиваю свою точку зрения по сопутствующим вопросам.

По поводу открытости: код предоставляемый правительству и сертифицирующим органам все равно закрыт. Не в плане опенсорсности/проприетарности, не это мы сейчас обсуждаем. А закрыт от тех, кто собственно занимается именно поиском "дыр".

Правильно поняли, почти все, вот Вам мы готовы его открыть.

Цитата:

Сообщение от Daniyar Atadjanov

Опять вы про сертификацию. Я ведь об этом в самом начале говорил? Что может для сертификации код и предоставляется, но от этого поиск "дыр" не сильно упрощается. Повторю изначальную мысль упрощенно: поиск широкой общественностью (в первую очередь - хакерской) уязвимостей в закрытом коде ЗНАЧИТЕЛЬНО сложнее, чем в открытом. В первом случае, это фактически метод проб и ошибок или дебаггинг. Во втором - готовый текст перед глазами.

А вам не кажется что вы себе немного противоречите, код то мы предоставляем. В том числе и для поиска дыр.
Но проверенным товарищам. Там тоже "Хакеры" работают. И готовый текст.
Кстати зря вы недооцениваете сертификацию - на самом деле это эффективный способ, показывающий что продукт(продукты) отвечают определенным требованиям.

Цитата:

Сообщение от Daniyar Atadjanov

Скажите, сертифицирующий орган ищет уязвимости в коде (напомню, изначальный смысл этой темы: количество найденных и закрытых "дыр", а также среднее время, потраченное на выпуск апдейта)? Тот 4-й уровень "Общих критериев", о котором вы говорите, подразумевает во-первых, наличие продуманного механизма поиска уязвимостей, латания "дыр" и оповещения пользователей. Но от этого количество найденных уязвимостей в самом коде не меняется!

Но это все таки подразумевает что "механизм продуман, и имеется в наличии", что уже доказывает более предсказуемое поведение на рынке как поставщика так и продукции

Цитата:

Сообщение от Daniyar Atadjanov

Во-вторых, проверяются используемые алгоритмы шифрования, проверки по другим профилям защиты (ПЗ). Кстати, и в реализации этих самых алгоритмов могут быть критические ошибки. Не ищут подобные сертифицирующие органы самих "дырок" в коде. Иначе наличие сертификата означало бы отсутствие уязвимостей или их ничтожно малое количество (абсурд).!

Ну уж вот тут я с вами категорически не соглашусь. Данияр, вы таки сходите по ссылкам.
Не надо рассуждать, даже не прочитав документов. Наличие сертификатов как раз и обозначает "отсутствие уязвимостий и их малое количество". При определенных условиях и в конкретном продукте, и все эти условия тоже описаны.

Цитата:

Сообщение от Daniyar Atadjanov

Ткните пальцем, где я сказал, что Виндовс - плохая система? Как "безопасник" мной уже была высказана мысль о том, какую ОСь можно считать безопасной.

Ну я же просил без обид! Вы не сказали что Виндовс плохая , но вы и не дали объективной оценки! Более того, пытаетесь сказать что одна модель создания ПО (коммерческое vs OSS) является изначально лучше, с точки зрения безопасности. Я же утверждаю что это преимущество легко превращается в недостаток стоит только немного изменить угол рассмотрения проблемы. Как иллюстрация ваше последнее высказывание:

Цитата:

Сообщение от Daniyar Atadjanov

В принципе согласен. Просто в моем контексте я делал упор именно на модель ОСС-разработки. Там производителю проще, и чем сильнее комьюнити, тем больше это заметно.

для того чтобы просто быть в курсе событий, и перевести разговор в более конструктивное русло, хотел бы ВАС попросить привести информацию о том какие OSS продукты имеют сертификаты CC, или прошли другую сертификацию? у меня просто не было времени самому собрать эту инфо, а вам должно быть встречались упоминания.
Заранее спасибо.