Category: Интересно

Linux Foundation вводит систему оценки качества, безопасности и стабильности СПО

Май 05, 2016 - Интересно - 0 Comments - Стандартный

05.05.2016 11:37 Linux Foundation вводит систему оценки качества, безопасности и стабильности СПО

Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии, анонсировал первые результаты продвижения инициативы Best Practices Badge Program для стимулирования повышения безопасности свободных проектов.

В рамках инициативы сформирован набор критериев, составленных с учётом опыта наиболее серьёзно относящихся к безопасности сообществ. Список включает 74 критерия, разделённых по степени важности (обязательные, желательные и рекомендуемые). Выполнение критериев позволяет судить о серьёзном отношении проектов к безопасности, обеспечению качества и поддержанию стабильности кодовой базы. Для оценки соответствия своего проекта предъявляемым критериям подготовлено простое web-приложение.

На базе данных критериев запущена программа сертификации соответствия проектов требованиям качества, безопасности и стабильности. Прошедшие сертификацию проекты получают право размещения на сайте специального знака качества, сигнализирующего о серьёзном отношении разработчиков к безопасности. В настоящее время заявки на проведение проверки сформированы для 114 проектов. Успешно прошли проверку 7 проектов: Curl, GitLab, ядро Linux, OpenBlox, OpenSSL, Node.js и Zephyr. Три проекта признаны не соответствующими критериям (pkgsrc — указание нескольких лицензий в разных файлах, container-tools — сайт без HTTPS, byobu — сайт без HTTPS c TLS). Остальные проекты находятся на стадии проверки.

Ключевые требования к проектам:

  • Доступный по постоянному адресу web-сайт, на котором описано назначение проекта, предоставлены ссылки для загрузки, имеется возможность отправки отзыва разработчикам и доступна инструкция по подключению к разработке/отправке изменений;
  • Использование типовой свободной лицензии и размещение информации о лицензии в файлах LICENSE или COPYING;
  • Поддержка HTTPS на сайте;
  • Наличие документации, описывающей установку и запуск, а также наличие спецификации для API;
  • Доступность кода через распределённые системы контроля версий и возможность оценки изменений между релизами;
  • Присвоение каждому выпуску уникального номера версии в формате семантического версионирования;
  • Наличие списка изменений, в котором явно выделены исправленные уязвимости;
  • Предоставление средства для отправки разработчикам сообщений об ошибках и отслеживания их исправления. Доступ к архиву сообщений о проблемах. Аргументированная реакция на любые сообщения об ошибках и запросы на улучшения, без игнорирования;
  • Наличие безопасного и документированного процесса отправки уведомлений об обнаружении уязвимостей. Ответ на подобные сообщения должен составлять не более 14 дней, а проблема должна быть устранена не более чем за 60 дней;
  • Возможность сборки с использованием штатных открытых инструментов. Возможность включения сборки в режиме вывода предупреждений компилятором и компоновщиком. Возможность запуска статических анализаторов кода;
  • Наличие автоматизированного тестового набора, покрывающего большую часть функциональности проекта. Добавление новых тестов для нового кода;
  • Автоматизированный запуск тестов для всех изменений и применение динамических проверок с использованием анализаторов, подобных Valgrind, систем fuzzing-тестирования и сканеров безопасности;
  • Знание разработчиками методов безопасного программирования и типовых ошибок, приводящих к уязвимостям;
  • В случае наличия поддержки шифрования применение публичных протоколов и алгоритмов, задействование уже готовых проверенных и открытых реализаций, использование ключей надлежащей длины, отказ от поддержки проблемных и уязвимых алгоритмов, использование алгоритмов с Forward secrecy, хранение любых паролей в форме хэшей с солью, применение надёжных генераторов случайных чисел.
  1. Главная ссылка к новости (http://www.linuxfoundation.org…)
  2. OpenNews: Организация Linux Foundation представила платформу для критически важных технических систем
  3. OpenNews: Инициативы Linux Foundation, касающиеся безопасности СПО и диагностики производительности
  4. OpenNews: Ведущие корпорации профинансируют создание повторяемых сборок Debian и средства выявления ошибок в СПО
  5. OpenNews: Сформирован рейтинг СПО, требующего первоочередного аудита безопасности
  6. OpenNews: Фонд свободного ПО сертифицировал четвёртый ноутбук
Тип: К сведению
Ключевые слова: linuxfoundation, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
 
+/
> «Сформированный при организации Linux Foundation фонд Core Infrastructure Initiative,
> в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения
> поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии,
> анонсировал»
> Кто на ком стоял? ©

Да там перлы щедро насыпаны:

«Аргументированная реакция на любые сообщения об ошибках и запросов на улучшения»

Родительный падеж:  Кого, чего?
Чего запросов? Где остальной кусок смысла?
Если «Реакция на», то «Реакция на запросЫ», а не «запросов».

Кто на ком стоял? ©

 
 
+/
> возложим болт на качество, безопасность и стабильность, и возьмёмся заниматься оценками

А что делать: специалистов днём-с-огнём не сыщешь, а всяких оценщиков и прочих пэхапе-гвидобейско-г-кодеров — как собак не резаных. Надо же их чем-то занять?

 
 
 
 
+/
Да ну конечно, боб бек наше все куда уж до него смертным.

А если серьезно, беспонятия кто это, даже не интересно. Но, видимо, у вас бсд головного мозга, не хочу устраивать очередной раунд, поэтому лишь отмечу, что варились все вы в своем маленьком уютненьком бсд-обществе, и будете дальше вариться, пока не помрете, что никто даже не заметит. Право ваше.

 
+1 +/
Резюме последних инициатив GNU:

«Не хочу писать код. Хочу рукой водить, каждую неделю устраивать конкурсы и быть в них жюри. Хочу оценивать сайты по степени продвижения ими моего фонда. Хочу судить проекты, независимо от того что они не с моей лицензией. СПО — это Я».

 
 
+/
> Резюме последних инициатив GNU:

Вы темой ошиблись. Здесь про хороводы за мзду с капрофагами.
   Вы спутали GNU и FSF.
      Вы не в курсе более ранних инициатив FSF, почему? 30+ лет истории ждут.

 
–1 +/
Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться OpenSource. Лоббирование юридического термина «нелицензионное СПО» 🙂
 
 
–1 +/
> Следующей инициативой должна стать сертификация и раздача проектам лицензий на право называться
> OpenSource. Лоббирование юридического термина «нелицензионное СПО» 🙂

Вот только вслух не надо.
Они же читают!

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Выпуск GnuPG 2.1.12

Май 05, 2016 - Интересно - 0 Comments - Стандартный

05.05.2016 10:29 Выпуск GnuPG 2.1.12

Состоялся релиз инструментария GnuPG 2.1.12 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.1 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.0 допускаются только корректирующие исправления, а 1.4 является старой стабильной веткой, подходящей для устаревших систем и встраиваемых решений.

Изменения в GnuPG 2.1.12:

  • В «gpg —edit-key» добавлена новая тестовая команда «change-usage». В режиме «—edit-key» обеспечено выявление и исправление нарушений порядка следования цифровых подписей;
  • Удалены дополнительные запросы при создании ключей Curve25519;
  • В «gpg —quick-sign-key» улучшен выбор идентификатора пользователя;
  • В «gpg —fetch-key» реализована возможность использования системного списка корневых сертификатов удостоверяющих центров;
  • Экспериментальная поддержка сервиса Web Key Directory для определения местоположения ключа;
  • В GPG agent добавлена поддержка формата защиты секретных ключей openpgp-s2k-ocb-aes и возможность чтения из нового расширенного формата секретных ключей;
  • Во встроенном драйвере CCID задействован новый API libusb 1.0;
  • В dirmngr-client обеспечено автоопределение формата PEM;
  • В g13 добавлена экспериментальная поддержка dm-crypt.
  1. Главная ссылка к новости (http://permalink.gmane.org/gma…)
  2. OpenNews: Сообщество пришло на помощь основному разработчику GnuPG, который оказался на грани разорения
  3. OpenNews: Выпуск GnuPG 2.1.0 c поддержкой шифрования по эллиптическим кривым
  4. OpenNews: Обновление GnuPG с устранением уязвимости, позволяющей восстановить закрытые RSA-ключи
  5. OpenNews: Автор GnuPG прекращает передачу имущественных прав Фонду СПО
Тип: Программы
Ключевые слова: gnupg, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
 
 
 
+/
> довольно хорошая

Если вдуматься, …[CODE]     3. _adv. _разг. довольно, достаточно, в значительной степени (тк. с прил. и
     нареч.); pretty much очень, в большой степени; I feel pretty sick about
     it мне это очень надоело; I’m feeling pretty well я вполне прилично себя
     чувствую; that is pretty much the same thing это почти то же самое[/CODE]…то его перевод весьма хорош.

 
 
+/
>> довольно хорошая
> Если вдуматься, …
>…то его перевод весьма хорош.

Впрочем, всё… кудряво! :Q

From The Collaborative International Dictionary of English v.0.48 [gcide]:
  Pretty Pret»ty, adv.
     In some degree; moderately; considerably; rather; almost; —
     less emphatic than very;
[—8<—]
From WordNet (r) 3.0 (2006) [wn]:
  pretty
      adv 1: to a moderately sufficient extent or degree; «pretty
             big»; «pretty bad»; «jolly decent of him»; «the shoes are
             priced reasonably»; «he is fairly clever with computers»
             [syn: {reasonably}, {moderately}, {pretty}, {jolly},
             {somewhat}, {fairly}, {middling}, {passably}] [ant:
             {immoderately}, {unreasonably}]
[—8<—]

 
+/
А пройти по ссылке на RFC?

1.1.  Terms

     * OpenPGP — This is a term for security software that uses PGP 5.x
       as a basis, formalized in RFC 2440 and this document.

     * PGP — Pretty Good Privacy.  PGP is a family of software systems
       developed by Philip R. Zimmermann from which OpenPGP is based.

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Выпуск GNU LibreJS 6.0.13, дополнения для блокирования несвободного JavaScript в Firefox

Май 05, 2016 - Интересно - 0 Comments - Стандартный
 
 
+/
Ну точнее если говорить корректно, то этот JS должен сказать «я свободный, пустите меня, пожаалуйста». Но я сильно сомневаюсь, что разработчики будут заниматься такой ерундой, так что ты прав.
 
+/
оставил в «Моих правилах»  uMatrix  только два
* * * block
* 1st-party * allow
То есть, исполняются скрипты и загружаются картинки, фреймы, стили только с домена и поддоменов. Объекты с остальных сайтов идут лесом.
Потом уже вступает в силу адблок и либре js
 
 
 
 
 
 
+/
Учту (тем более, что оно настраиваемо), но как по мне — NoScript слишком уж комбайн. Для мозилловидных, где на каждое расширение не гоняют отдельный процесс, нет нужны нарушать single responsibility principle, как мне кажется.
 
+/
>Объекты с остальных сайтов идут лесом.

и получаешь больше половины нерабочих сайтов — к сожалению, это так. Конечно, если твой персональный интернет ограничивается десятком сайтов, для которых можно настроить исключения и забыть, то всё здорово.
Но как только попадаешь на сайт с контентом из CDN (особенно cloudfront с его дебильными доменными именами — а таких нынче дофейхоа) или за каким-то cloudflare, или просто когда доменное имя прикручено к бложику на публичной платформе, оказывается проще либо не открывать сайт вовсе (ограничивая себя же — ради чего?), либо выключить uMatrix в  приватном окне — теряется всякий смысл.

/me около года мучался с uMatrix, задолбался и забил, uBlock хватает в большинстве случаев.

 
 
 
+1 +/
>> Скрипты должны храниться в базе у пользователя, а не загружаться с сайта.
> Если кэш браузера считать базой, то они там и хранятся после первой
> же загрузки.

Война-то уже давно кончилась, а стуки-стуки на Базу с заголовками If-Modified-Since всё везут и везут.

 
+1 +/
интересно, если установить uMatrix, Adblock plus и LibreJS, то кто  из них будет вначале обрабатывать html текст,а кто потом?
Логичнее,чтобы uMatrix выкинул всю лишнюю парашу со сторонних сайтов и загрузил элементы странички только с поддоменов, а потом уже взялись за дело LibreJS и Adblock.
Как проверить порядок обработки контента плагинами?
 
 
 
 
 
 
 
 
 
 
+/
> Некорректное сравнение. От использования зондов в процессорах никто ещё не умер,

Ну лады. От паразитов тоже, обычно, не умирают. Не выгодно паразиту хозяина убивать.
Но от вшей или червей ленточных народ почему-то отнюдь не в восторге.  
И даже, подумать только, негодует, когда ему пытаются всучить  мясцо или одежку с такими «подарочками»!
А ведь раньше жрали и претензий не предъявляли! Да и сейчас, в Папуасиях, народ будет хрумкать за милую душу!
Вот что какое-никакое образование с людьми делает – не хотят бездумно потреблять, хоть ты тресни! А ведь сами выращивать, тем более конкурировать – не умеют!
Видимо, поэтому в айтишных продуктах так стараются налегать на принцип «не нужны вам даже азы, вот вам кнопочка <сделать зашибись>». А те кто там про червей^W зонды пишет и предупреждает суть простые паникеры и завистливые неосиляторы, неспособные конкурировать …

 
 
 
 
 
+1 +/
> клоун: Ты купил фишбургер и стакан Колы. Ты действительно веришь в то,
> что тебе должны (!) предоставить их рецепты и передать права на
> их изготовление? Вот это аппетиты…

нет. я просто не ем в тошниловках и не пью страшно секретную смесь из сахарного колера и кислоты.

> Я не просто так упомянул Колу. Её рецепт закрыт и является коммерческой
> тайной. Рецент блюд МакДональдса открыт, но готовить и подавать их в
> других ресторанах запрещено.

походу ты ещё и слабо понимаешь что такое «ресторан». но раз уж зашла речь за рестораны — там в основном готовят «открытые» блюда и никто не прибежит к тебе с приставами за изготовление, употребление и даже продажу салата оливье.

 
 
 
 
 
+/
О, уровень понимания клоуна продемонстрирован во всей красе. В отличие от него Ди Халт отлично понимает различие и не раз повторяет, что это упрощённое описание, а дальше, за нормальным — надо идти к Хоровитцу с Хиллом.
 

Let’s block ads! (Why?)

Началось формирование ежедневных сборок KDE Neon на базе Wayland

Май 04, 2016 - Интересно - 0 Comments - Стандартный

04.05.2016 20:33 Началось формирование ежедневных сборок KDE Neon на базе Wayland

 
 
 
+6 +/
> Сетевая прозрачность — это таки вещь!

вот только есть некоторая проблема с сетевой прозрачностью:

она полезна только для тех людей, которым *нужна* эта ваша сетевая прозрачность.

остальное большенство людей — проработали на компьютере дсятки лет и ни разу (НИ РАЗУ!! ВООБЩЕ) не заиспользовали сетевую прозрачность… 🙂

(некоторые люди даже по ssh не подключаются ни куда — даже в консольную командную строку — вот тык чудеса!)

……предлагаю тем единицам людей кто любит сетевую прозрачность — придумать свой собственный линукс и там друг другу хвастаться этой прозрачностью 🙂 [задрали уже в каждой теме про Wayland говорить про эту бесполезную прозрачность!]

ну или наяривать на plan9 — у них там вообще всякая-разная прозрачность есть 🙂 🙂 — красота

 
 
 
 
+/
> Сетевая прозрачность в том виде как она реализована в X11 не нужна
> никому, точка и подчеркнуть.

Почему все идиоты любят ставить точки и подчёркивать?

 
+/
> остальное большенство людей — проработали на компьютере дсятки лет и ни разу
> (НИ РАЗУ!! ВООБЩЕ) не заиспользовали сетевую прозрачность… 🙂

Какое «большенство» ты представляешь — давно понятно. Вы-то и мозг почти не используете.

 
 
+1 +/
Для чего мозг не используем? Для генерации фантазий о теоретических использованиях этой прозрачности? 🙂

В отличии от вас, теоретиков, у нас есть практика — так что можно без таких вот фантазий обходиться 🙂 .. А ещё в этой практике — мониторы с разным порядком субпикселей и коэфицентами HiDPI

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Выпуск браузера Opera 37

Май 04, 2016 - Интересно - 0 Comments - Стандартный

04.05.2016 19:44 Выпуск браузера Opera 37

Представлен выпуск браузера Opera 37, доступный для платформ Linux, OS X и Windows. Это двенадцатый стабильный выпуск новой ветки браузера, основанной на кодовой базе Chromium, в которой реализована поддержка Linux.

В новой версии:

  • Встроен блокировщик рекламы и блоков отслеживания пользователей. Блокировка производится по списку EasyList. По оценке разработчиков встроенная функция блокирования рекламы позволяет на 89% увеличить скорость загрузки перегруженных рекламой страниц по сравнению с Microsoft Edge без блокировщика рекламы, на 21% по сравнению с применением Firefox с установленным расширением Adblock Plus и на 45% по сравнению с Chrome с Adblock Plus. Высокая производительность достигается за счёт интеграции блокировщика в движок браузера и полного контроля процесса загрузки страницы.

    При использовании блокировщика также наблюдается значительное снижение потребления памяти (до 47% при открытии 10 вкладок с нагруженными рекламой сайтами);

  • Реализована функция «Video pop out», позволяющая перетащить воспроизводимое на web-странице видео в отдельное окно, содержащее только видео без сопутствующих элементов навигации. Например, данный режим удобен для продолжения работы с другими сайтами не прерывая показа видео;
  • Браузерный движок обновлён до Chromium 50 с включением представленных в нём изменений для web-разработчиков.
  1. Главная ссылка к новости (http://www.opera.com/blogs/des…)
  2. OpenNews: В браузер Opera встроен VPN
  3. OpenNews: Первый стабильный выпуск web-браузера Vivaldi, развиваемого одним из основателей Opera Software
  4. OpenNews: В браузер Opera встроен блокировщик рекламы
  5. OpenNews: Выпуск браузера Opera 35
  6. OpenNews: Выпуск web-браузера Chrome 50
Тип: Программы
Ключевые слова: opera, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
–2 +/
Тест на первых попавшихся сайтах. Забавно, что джира (в которой нет рекламы) и опеннет грузятся быстрее с рекламой, чем без. Если uBlock отключить, то с рекламой становится еще быстрее — 10% разницы. Даже мэйл.ру показывает 20% быстрее с рекламой. Либо измерялка плохо работает, либо…

http://i.imgur.com/sHyNfL8.png

 
 
+/
Яндекс браузер ушел очень далеко в деле секурности и приватности. И я не про проверку файлов на вирусы. Он даже умеет автоматически шифровать передаваемые данные в небезопасных сетях. Плохо, что вручную не включить, правда…  
А еще есть с недавних каких-то пор DNSCrypt, который защищает днс-запросы от излишне любопытных: https://habrahabr.ru/company/yandex/blog/280380/

Опера в последних версиях довольно ощутимо приблизилась к старым версиям в деле кастомизации. Амиго не пробовал.

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)

Релиз распределённой системы управления версиями Mercurial 3.8

Май 04, 2016 - Интересно - 0 Comments - Стандартный

04.05.2016 12:55 Релиз распределённой системы управления версиями Mercurial 3.8

Состоялся релиз распределённой системы управления версиями Mercurial 3.8. Код Mercurial написан на языке Python (требующие высокой производительности части оформлены в виде модулей на Си) и распространяется под лицензией GPLv2+. Среди проектов, использующих Mercurial, можно выделить следующие: Mozilla, OpenOffice.org, OpenSolaris, NetBeans, OpenJDK, Nginx, Xine и W3C.

Основные изменения:

  • Устранена опасная уязвимость CVE-2016-3105, которая может привести к выполнению кода злоумышленника при выполнении конвертации Git-репозитория с использованием расширения convert;
  • В состав включено разработанное компанией Facebook расширение fsmonitor, которое использует средства отслеживания изменений в ФС (inotify, FSevents и т.п.) для ускорения выполнения команд, подобных «hg status», «hg diff» и «hg commit». Ускорение достигается за счет обработки событий изменения от ФС вместо проверки перебором всех файлов;
  • Добавлено экспериментальное расширение automv, которое автоматизирует определение фактов переименования и копирования файлов в репозитории без применения команд «hg mv» и «hg cp»;
  • Добавлен клиент chg, предоставляющий альтернативный способ выполнения команд Mercurial и работающий значительно быстрее. В отличие от штатного интерфейса, целиком написанного на языке Python, chg разделён на клиентскую и серверную часть: клиент написан на Си, а сервер на Python.
  1. Главная ссылка к новости (http://mathiasdm.com/2016/05/0…)
  2. OpenNews: Создатель системы управления версиями Mercurial передаёт проект в руки сообщества
  3. OpenNews: Выпуск распределённой системы управления версиями Mercurial 3.5
  4. OpenNews: Выпуск распределённой системы управления версиями Mercurial 3.4
  5. OpenNews: В Git и Mercurial устранена критическая уязвимость, проявляющаяся в Windows и OS X
  6. OpenNews: Выпуск распределённой системы управления версиями Mercurial 3.0
Тип: Программы
Ключевые слова: mercurial, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
 
+/
Для ознакомления с программизмом hg безусловно меньшее из зол (и прекрасно справится с текстами и подобными мелочами), а выбравшие программизм смогут легко сами прочитать про git.

Есть аналогия: Pascal изначально заточен для ознакомления с вопросами типа «что такое цикл» и он с этим успешно справляется, а при выборе программистской работы один фэншуй изучать конкретные инструменты.

 
+3 +/
> Среди проектов, использующих Mercurial, можно выделить следующие: …  Python …

Список то редеет, теперь его нужно всё время обновлять, а не копипастить из новостей годовой давности.

 
+/
а вообще, в последнее время больше fossil пользуюсь, чем hg. с тех пор, как завезли нормальную тему для web ui — стало хорошо. нравится его распредвики, распредбактрекер и распредвсёостальное. не нравится необходимость всё время открыать/закрывать реп и маниакальная попытка перезаписать всё при новом открытии.
 
+/
Если бы Mercurial поддерживал хорошее сжатие репы, как git gc —aggressive. А так если не git, то скорее fossil.

Кстати, к проектам, которые ушли недавно с Mercurial на git, добавьте GHDL.

 

 Добавить комментарий

Навигация

Let’s block ads! (Why?)