Re: Debian va contro il suo contratto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2002 ml@sikurezza.org
Soggetto: Re: Debian va contro il suo contratto
Mittente: antirez
Data: 25 Jan 2002 14:35:40 -0000

On Tue, Jan 22, 2002 at 11:04:36PM +0100, Marco Ivaldi wrote:
> On Tue, 22 Jan 2002, Samuele Giovanni Tonon wrote:
> 
> > Sara' anche l'ultima ad uscire con gli annunci (a volte colpa del ritardo di
> > bugtraq) ma se tu aggiorni la tua macchina ogni giorno (apt-get update)
> > sei piu' sicuro di molte altre distribuzioni.
> 
> L'ultima cosa che vorrei e' entrare in questo thread. Ma ne approfitto per
> agganciarmi, visto che mi pare che molti stiano perdendo di vista una cosa
> molto importante: "sicurezza" non e' necessariamente sinonimo di "upgrade
> forsennato a tutti i costi tutti i giorni". Anzi, in molti casi le
> releases piu' datate si rivelano le piu' stabili (e le piu' sicure) - a
> parte alcune illustri eccezioni che tutti voi conoscete:)
> 
> Qualche esempio: OpenBSD (che non puo' certo vantarsi di avere sempre le
> ultime versioni di tutto), Linux (la cui 2.0.38 per molti versi e' da
> considerarsi piu' sicura delle 2.4.x), Qmail (che non viene aggiornato da
> secoli per il semplice fatto che non ha bisogno di correre alla ricerca
> di nuove features, per ora sta benissimo cosi'), and so on.

Concordo, la mia parafrasi e':

ogni aggiunta di codice e' una aggiunta di bachi, in maniera
proporzionale alla quantita' del codice e alla complessita'
con la quale le diverse parti di questo interagiscono. Da questo
due banali ma spesso non osservate regole:

non mettere mai codice che non e' davvero necessario in una
applicazione che vuole essere sicura

rendere l'applicazione una serie di moduli con una interfaccia
definita che interagiscono tra loro in maniera piu' semplice
possibile

Siete d'accordo?

Mentre ci sono volevo chiedere qual'e', a vostro avviso, il
miglior modo per fare un security auditing di codice nuovo.
Secondo voi e' meglio scrivere tentando di non fare errori
e fare un security auditing finale prima di rilasciare la
prima versione per il pubblico o fare l'auditing in maniera
parallela allo sviluppo?

In teoria, se applicati bene, ambedue gli approcci dovrebbero
funzionare, ma ho la sensazione che il secondo (auditing parallelo)
sia uno spreco di risorse.

ciao,
antirez

-- 
Salvatore Sanfilippo <antirez@invece.org>
http://www.kyuzz.org/antirez
finger antirez@tella.alicom.com for PGP key
28 52 F5 4A 49 65 34 29 - 1D 1B F6 DA 24 C7 12 BF

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Debian va contro il suo contratto [Auditing sicurezza sullo sviluppo di applicativi], Fausto Pasqualetti
- post auditing o auditing parallelo was (Re: Debian va contro il suo contratto), yaroze
- Re: Debian va contro il suo contratto, vecna
- Re: Debian va contro il suo contratto, Paolo Perego

In risposta a:
- Re: Debian va contro il suo contratto, Samuele Giovanni Tonon
- Re: Debian va contro il suo contratto, Marco Ivaldi

Data:
- precedente: R: firewall per small office con VPN, Riccardo Raffaelli
- successivo: per i relatori di infosecurity, larry wall
- indice

Argomento:
- precedente: Re: Debian va contro il suo contratto, Marco Ivaldi
- successivo: Re: Debian va contro il suo contratto, Paolo Perego
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005