En conclusión, por defecto existe gran cantidad de software en los repositorios que distribuciones como Ubuntu proporcionan a los usuarios que son vulnerables y fácilmente accesibles a los usuarios. Lógicamente, si añadimos repositorios a sources.list el número de paquetes de software a analizar serían mayores, por lo que se podrá detectar un mayor número de vulnerabilidades.
#1 Se nota que has entendido el artículo a la perfección
Sobre lo que cuenta el artículo en sí... es un poco "matar moscas a cañonazos"; aunque no por ello es una "mala idea" para buscar una aguja en un pajar de forma más o menos automatizada, sobre todo si distribuyes la tarea entre muchas personas.
No obstante, el tema central del asunto radica en que la existencia de una función strcpy (p.ej.) no implica per sé que exista un riesgo significativo para la seguridad. Es más, aunque exista un overflow sobre un buffer, el impacto del mismo puede no pasar de lo anecdótico. Con lo cual es difícil justificar el ingente esfuerzo de revisión, por muy automatizada que esta esté, cuando los resultados, a priori, no están claros.
No obstante, puestos a hacer esta tarea, quizá tuviese más sentido para la correcta detección y para una mayor cobertura, el uso de analizadores estáticos como Coverity o Clang, junto con analizadores simbólicos como Klee u Otter.
#2 pero mola tanto ser "juanquer"... Seguro que el autor es mega-super-listo, pero injustamente censurado por el sistema.
en serio: no me gusta nada esa página. Hay millones de sitios donde introducirse en sistemas, seguridad, programación de forma más seria, o divertida, sin tragarse un montón de palabrería. Este sitio es sensacionalismo puro.
Comentarios
otro palo para linux
#1 Se nota que has entendido el artículo a la perfección
Sobre lo que cuenta el artículo en sí... es un poco "matar moscas a cañonazos"; aunque no por ello es una "mala idea" para buscar una aguja en un pajar de forma más o menos automatizada, sobre todo si distribuyes la tarea entre muchas personas.
No obstante, el tema central del asunto radica en que la existencia de una función strcpy (p.ej.) no implica per sé que exista un riesgo significativo para la seguridad. Es más, aunque exista un overflow sobre un buffer, el impacto del mismo puede no pasar de lo anecdótico. Con lo cual es difícil justificar el ingente esfuerzo de revisión, por muy automatizada que esta esté, cuando los resultados, a priori, no están claros.
No obstante, puestos a hacer esta tarea, quizá tuviese más sentido para la correcta detección y para una mayor cobertura, el uso de analizadores estáticos como Coverity o Clang, junto con analizadores simbólicos como Klee u Otter.
#2 pero mola tanto ser "juanquer"... Seguro que el autor es mega-super-listo, pero injustamente censurado por el sistema.
en serio: no me gusta nada esa página. Hay millones de sitios donde introducirse en sistemas, seguridad, programación de forma más seria, o divertida, sin tragarse un montón de palabrería. Este sitio es sensacionalismo puro.