当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 13 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [转帖]开源代码有质量缺陷 每千行暴露一安全漏洞?
帖子发表于 : 2008-01-11 0:04 
头像

注册: 2007-10-14 0:50
帖子: 306
地址: GUCAS
送出感谢: 0 次
接收感谢: 1
【CSDN】安全公司Department of Homeland Security公布的数据表明,开源代码大致每1000行就含有一个安全漏洞。

流行的开源项目比如Samba、PHP、Perl等通常跟Web站点的一些原理相关联,Amanda(使用最广发的开源备份和修复软件)运行在50万个服务器上,他们均含有许许多多的安全漏洞和质量缺陷。

以Samba为例,Samba总共有236处缺陷,而它的代码共45万行,因而缺陷数远低于平均率,而且Maxwell(开源代码检测系统的创立者)在采访中表示,其中228处缺陷已经得到了弥补。

Linux的也远远小于平均缺陷率,Linux kernel的2.6版本的安全bug率为每一千行代码0.127个。Coverity Web 网站公布的数据显示,检查了kernel 的3,639,322行代码,452个缺陷已被修复(fixed),48个被校验(verified)而未修复,另外413有待校验和修复。

Apache Web服务器包含135,916行代码,每一千行有0.14个bug。3个已修复,7个被校验,仍有12个有待修复和校验;PostgreSQL数据库系统包含909,148行代码,,每一千行有0.041个缺陷,53个bug已被修复,37个有待修复和校验。

对于代码中存在的缺陷和漏洞,有些开源项目“响应”迅速,有些则比较慢。比如FreeBSD 在修正方面的步伐慢了一些,在总共1,582,166代码中,只校验了六个缺陷,仍有605个有待校验和修复;Firebird项目被确认又195个缺陷,然而它未修复和校验任何一个;而Firefox 浏览器项目已经修补了370 bugs,校验了56个,另有246个有待修复和校验。

Free Software Foundation的glibc或者Gnu C Library已经修复了全部83个bug。Gnu C Library被许多Linux的开源开发者所使用,是很少的几个没有错误代码的开源项目之一,考虑到它有588,931行代码整个成绩就更不容易了。

Linux用户界面的情况是这样的:KDE包含4,712,273行代码,已修复1,554个缺陷,校验了25个另有65个有待修复和校验。Gnome有430,809行代码,已经修复了357个错误,校验了5个,仍有214个有待修复和校验。

Maxwell表示,开源项目与商业产品的不同之处在于,商业公司很少承认他们产品代码的安全问题,“如果我们为商业公司做这种调查,他们一定会非常不高兴。”


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-01-11 0:14 
头像

注册: 2007-10-29 22:12
帖子: 5353
地址: 江苏南京
系统: OSX 10.9 + Ub 1304
送出感谢: 0 次
接收感谢: 5
结果出来一看,微软的每千行有500个错误,微软愤怒了,说:你们检测方法不对!


_________________
佛经说,人有八苦: 生、老、病、死、求不得、怨憎、爱别离、五阴盛 故我苦!
圣经说,人有七罪: 饕餮、贪婪、懒惰、淫欲、傲慢、嫉妒和暴怒  故我有罪!

我这篇帖子里面没有任何攻击我们伟大的中华人民共和国政府和任劳任怨的人民公仆(和本论坛高素质的版主)的文字和含义;

特此声明!

有些事,我们明知道是错的,也要去坚持,因为不甘心;有些人,我们明知道是爱的,也要去放弃,因为没结局;有时候,我们明知道没路了,却还在前行,因为习惯了。

欢迎来我的新浪微博@me


页首
 用户资料  
 
3 楼 
 文章标题 : Re: [转帖]开源代码有质量缺陷 每千行暴露一安全漏洞?
帖子发表于 : 2008-01-11 1:09 
头像

注册: 2005-08-01 9:14
帖子: 3666
送出感谢: 0 次
接收感谢: 0 次
command 写道:

Maxwell表示,开源项目与商业产品的不同之处在于,商业公司很少承认他们产品代码的安全问题,“如果我们为商业公司做这种调查,他们一定会非常不高兴。”


_________________
Gedanken ohne Inhalt sind leer .Anschauungen ohne Begriffe sind blind.


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-01-11 8:57 
头像

注册: 2006-10-25 18:10
帖子: 2677
地址: 长沙
送出感谢: 0 次
接收感谢: 0 次
开源项目门槛低,项目代码质量参差不齐,这样一概而论显然不够科学。如果说我到 GoogleCode 上建一个开源项目,就我这种水平,每 50 行 1 个缺陷还差不多。这能算吗?反正又没人会去用我的。


_________________
你是自由的。别人也是。


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-01-11 9:20 
头像

注册: 2007-10-29 22:12
帖子: 5353
地址: 江苏南京
系统: OSX 10.9 + Ub 1304
送出感谢: 0 次
接收感谢: 5
但是常用的软件都是久经考验的

比如apache,开始的时候是有些bug,那是netscape的server可是风光无限,但是一个一个版本的升级上来,成为现在最稳固的系统之一。

关键就是模式,我用了,发现一个错误,提交了,解决了,问题就没有了。如果一个人变成500个人,事情就好办了。

而商业公司从运营角度这样显然不现实。


_________________
佛经说,人有八苦: 生、老、病、死、求不得、怨憎、爱别离、五阴盛 故我苦!
圣经说,人有七罪: 饕餮、贪婪、懒惰、淫欲、傲慢、嫉妒和暴怒  故我有罪!

我这篇帖子里面没有任何攻击我们伟大的中华人民共和国政府和任劳任怨的人民公仆(和本论坛高素质的版主)的文字和含义;

特此声明!

有些事,我们明知道是错的,也要去坚持,因为不甘心;有些人,我们明知道是爱的,也要去放弃,因为没结局;有时候,我们明知道没路了,却还在前行,因为习惯了。

欢迎来我的新浪微博@me


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2008-01-11 11:02 
头像

注册: 2007-07-11 12:31
帖子: 1794
地址: neverland
送出感谢: 0 次
接收感谢: 0 次
发现bug不可怕,尤其在开源里,这种软件开发模式本来就是让大家去发现bug的
就怕想某些商业软件,出了bug都不承认.比如M$的某些后门,好几年了都不承认


_________________
To be is to do--Nietzsche
To do is to be--Kant
Do be do be do---Frank Sinatra
http://ggarlic.org


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2008-01-11 11:11 

注册: 2007-08-29 22:44
帖子: 320
送出感谢: 0 次
接收感谢: 0 次
那多的代码,怎么可能做到万无一失呢!
当然会存在缺陷了。只要那些缺陷能够早日很到修复的话,也就无所谓了。


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2008-01-11 21:36 
头像

注册: 2007-03-14 20:33
帖子: 524
地址: 南京
送出感谢: 0 次
接收感谢: 0 次
Eric S. Raymond在《大教堂与集市》里有句话:
只要眼球足够多,所有臭虫都好捉! :em06


_________________
For Linux
http://blog.yjsword.com/
南無觀世音菩萨


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2008-02-18 15:26 

注册: 2006-04-04 1:15
帖子: 83
送出感谢: 0 次
接收感谢: 0 次
因为一般商用软件都是团队开发的,很多开源代码都是个人作品........


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2008-02-18 18:07 
头像

注册: 2005-12-28 1:16
帖子: 3916
地址: 火星
系统: Ubuntu 12.10 X64
送出感谢: 1
接收感谢: 0 次
有人统计过
商业软件平均每25行一个bug


_________________
目前负债150多万


页首
 用户资料  
 
11 楼 
 文章标题 :
帖子发表于 : 2008-02-18 18:10 

注册: 2008-02-18 17:58
帖子: 3
送出感谢: 0 次
接收感谢: 0 次
yjsword 写道:
Eric S. Raymond在《大教堂与集市》里有句话:
只要眼球足够多,所有臭虫都好捉! :em06


开放源代码,让所有人都可以看到代码,让所有人都可以参与修正,听上去好像很吸引似的,但事实上有多少用户真的会去研究代码(你把gEdit的代码全看一遍了吗?),大部分人碰到问题最多是向开发者反馈一下而已,因此在bugs修正方面,开源软件与闭源软件都差不多,都是靠用户反馈意见,然后由开发者跟进,而正因为开源软件的用户数远比不上闭源软件,所以开源的比闭源的漏洞更多。。。


页首
 用户资料  
 
12 楼 
 文章标题 :
帖子发表于 : 2008-02-18 18:24 
头像

注册: 2006-10-25 18:10
帖子: 2677
地址: 长沙
送出感谢: 0 次
接收感谢: 0 次
yjsword 写道:
Eric S. Raymond在《大教堂与集市》里有句话:
只要眼球足够多,所有臭虫都好捉! :em06

完全同意。想要 BUG 少,就要更多的开发者;想要有更多的开发者,就要有更多的用户。所以眼球才是王道。Ubutu 为例,即使它不够稳定,兼容性不够强,但是光凭使用简单又好看的 3D 桌面效果,足以吸引一大批人来关心 Linux。


_________________
你是自由的。别人也是。


页首
 用户资料  
 
13 楼 
 文章标题 : Re: [转帖]开源代码有质量缺陷 每千行暴露一安全漏洞?
帖子发表于 : 2008-02-18 19:53 

注册: 2008-02-12 14:39
帖子: 160
送出感谢: 0 次
接收感谢: 0 次
command 写道:
Linux用户界面的情况是这样的:KDE包含4,712,273行代码,已修复1,554个缺陷,校验了25个另有65个有待修复和校验。Gnome有430,809行代码,已经修复了357个错误,校验了5个,仍有214个有待修复和校验。

看来kde还是好一些吗!德国货不错


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 13 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译