Sicherheits-Analyse-Software mit BogoSec.

Der Artikel beschreibt die Technik des Arbeitens mit BogoSec und ihre Umsetzung gilt als BogoSec Ausgabe von Informationen bei der Arbeit mit einigen Testfälle, darunter das Apache Web-Server, OpenSSH, Sendmail, Perl, and others.

Hintergrund

Des CERT Coordination Center (CERT Coordination Center Das - CERT / CC) berichtete 5990 Sicherheitslücken im Jahr 2005, verglichen mit 171 im Jahr 1995, viele Sicherheitslücken FÜR kommen wegen der schlechten Methoden in der Programmierung beschäftigt. Einige Schwachstellen erkannt werden können mit Hilfe eines speziellen Algorithmus Source-Code-Scanner, eingerichtet, um potenzielle Sicherheitsprobleme zu identifizieren. Da die Zahl und die Gefahr einer potenziellen Sicherheitslücken im Code-Zeile zunimmt, ist es vernünftig anzunehmen, dass die allgemeine Qualität des Quellcodes im Hinblick auf die Sicherheit verschlechtert. Indikatoren BogoSec - ein berechneter Wert für die relative Qualität Merkmale von Sicherheits-Source-Code, der für die Zwecke des Vergleichs verwendet werden kann.

BogoSec wurde geschaffen, um den Entwicklern so zu beeinflussen, dass sie begann schließlich zu mehr Sicherheit Source-Code zu schreiben. Es gibt verschiedene Scanner, mit dem Entwickler von potenziell unsicheren Code-Schnipsel zeigen, aber die Entwickler sind oft zögerlich, solche Scanner als auch auf den ersten Blick verwenden, besteht eine hohe Wahrscheinlichkeit, dass man zu unsicher (je nach Programm) Code-Snippets, ist wirklich nicht. Darüber hinaus gibt es Schwierigkeiten mit der Verwendung solcher Scanner verbunden. BogoSec versuchen, die Anzahl der “falschen Diagnose zu verringern”, Ausdehnung des Geltungsbereichs der Scan-Code durch die Verwendung von mehreren voneinander unabhängigen Scannern. Das Ergebnis ist eine hohe Performance, so dass sowohl die Entwickler und Anwender zu vergleichen und die Qualität der Quelle beurteilen Code in Hinblick auf ihre Sicherheit.

16 October 2006 | , , , , arbeit, artikel, einführung, server, sicherheit

Linux Kernel - Echtzeit-Kernel
How to Drop Linux-s

More reading: • Safety analysis software with BogoSec. »»»
The article discusses the technique of working with BogoSec and... • La sécurité des logiciels d’analyse avec BogoSec. »»»
L’article aborde la technique de travailler avec BogoSec et son... • Linux Foundation hat Statistiken über die Entwicklung von Linux-Code veröffentlicht. »»»
Non-Profit-Stiftung Linux Foundation hat heute die statistischen Zahlen in der... • Der Linux-Kernel nicht durch GPL3 lizenziert. »»»
In seiner Botschaft an Jim Zemlin am 8. Januar dieses... • Skype Open-Source-Linux-Version. »»»
Olivier Faurax, Entwickler der Firma Neotion und der Benutzer Distribution...