Re: Debian va contro il suo contratto [Auditing sicurezza sullo sviluppo

antirez ha scritto:

> Siete d'accordo?
Assolutamente si. Scrivere codice è come la legge di gravità universale, la
probabilità di non commettere errori o
di non rilasciare vulnerabilità  diminuisce con il quadrato del numero di
righe di codice introdotte...

> Mentre ci sono volevo chiedere qual'e', a vostro avviso, il
> miglior modo per fare un security auditing di codice nuovo.
> Secondo voi e' meglio scrivere tentando di non fare errori
> e fare un security auditing finale prima di rilasciare la
> prima versione per il pubblico o fare l'auditing in maniera
> parallela allo sviluppo?

Allora secondo me l'auditing andrebbe fatto da persone che non hanno preso
parte al progetto
e allo sviluppo una volta ultimata l'applicazione.
Chi ha creato un applicativo e si trova davanti per giorni le stesse righe
di codice difficilmente
può rendersi conto delle imperfezioni o degli errori commessi.
Purtroppo ritengo visti i tempi di rilascio di certi applicativi che sono
serrati, l'attenzione per la sicurezza
soprattutto orientata al buffer-overflow sia in generale molto ridotta
rispetto ai tempi di realizzazione e/o sviluppo.
A presto

Fausto


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List