Consorzio Security Auditing

La mia idea e' quella di mettere assieme un gruppo di
alcune persone per costruire un consorzio di auditing
del codice.

N programmatori con competenze nel campo della sicurezza
interessate a migliorare la sicurezza del codice che
scrivono si uniscono e si iscrivono ad una mailing list.
Ognuno posta il (proprio) codice che desidera migliorare
nella mailing list, qualcuno fa l'auditing, lui diventa
creditore di N righe di codice verso quella persona
e deve cercare di pareggiare il conto, e cosi' via.

Potremmo anche coinvolgere realta' produttive che
hanno un po' di $$$ ed istituire dei premi in
denaro o hardware nel caso venga trovato un baco davvero
serio (o un numero scelto di bachi seri)
in un software che queste realta' che mettono i
soldi hanno sviluppato e vogliono che sia sicuro.

La lista deve anche servire per i report in modo da
creare nel tempo un paper con errori commessi dai
programmatori, molto di piu' di quello che ho visto
in giro dove c'e' scritto di non usare strcpy(),
questo lo sanno tutti, esempi pratici di errori
subdoli, che sono quelli che commettiamo noi programmatori
che sappiamo gia' le regole per programmare in
maniera sicura, sono molto piu' interessanti.

Puo' essere qualcosa di stimolante, non necessariamente impegnativo
perche' se posti piccole parti di codice il tuo credito e' piccolo
cosi' puoi decidere la misura in cui vuoi partecipare,
il tuo codice e quello degli altri partecipanti della
lista migliora, magari viene fuori un qualche documento
nel tempo, e si impara.

Se qualcuno e' disposto ad aderire mi faccia sapere in
privato ed io posto in lista l'elenco degli eventuali
partecipanti e le istruzioni per partecipare (ma mi
sa che la ml dovrebbe essere ospitata da qualcuno perche' io
non ho dove metterla).

Ovviamente e' possibile far circolare anche codice alpha,
dunque una caratteristica dei partecipanti deve essere
la riservatazza, perche' per la natura di questo progetto
uno espone codice che altrimenti avrebbe tenuto per se
ancora per un po'.

Ciao!
antirez

p.s. io sono disposto a portare avanti il progetto anche se
un solo altro programmatore si fa avanti, credo che possa
funzionare anche in due.

pp.ss. sono disoccupato da una settimana (Innominate AG
sta per dichiare il fallimento), se avete qualche
offerta di lavoro anche part-time, specialmente se da
remoto, speditemi una email. Non ho un CV decente
da spedire in lista ma a richiesta ne posso creare uno.

Sinteticamente:
Le mie competenze sono sinteticamente programmazione,
networking e protocolli, sicurezza, device drivers per
linux, embedded systems, basi di crittografia. Posso
iniziare dai primi di Settembre. Le mie passate esperienze
di lavoro sono state in Intesis seclab, Alicom,
Linuxcare (ex prosa), Innominate.

-- 
Salvatore Sanfilippo <antirez@invece.org>
http://www.kyuzz.org/antirez
finger antirez@tella.alicom.com for PGP key
28 52 F5 4A 49 65 34 29 - 1D 1B F6 DA 24 C7 12 BF

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List