Obrigado CaSantos! Realmente o que eu imaginava... ótima explicação...
-- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by .... (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org ----- Original Message ----- From: "Carlos A. M. dos Santos" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Sent: Friday, May 02, 2008 12:28 PM Subject: Re: [FUG-BR]Me ajudem a entender essa notícia (FreeBSD) 2008/4/30 Welkson Renny de Medeiros <[EMAIL PROTECTED]>: > Estava lendo alguns artigos sobre Firebird, e me deparei com esses dois > links: > > http://www.informationweek.com/news/security/showArticle.jhtml;jsessionid=QXEFLUIBNFJWAQSNDLRSKH0CJUNN2JVN?articleID=205600229&_requestid=701086 Pelo que entendi da notícia, os números vêm de uma análise feita com o Coverity Prevent: http://www.coverity.com/html/prod_prevent.html A empresa em que trabalho usa esse software. Ele é realmente muito bom, mas é preciso tomar cuidado com a interpretação de seus resultados. O Coverity Prevent faz análise estática de código. Ele procura erros em códico em C do tipo variável não inicializada, índices inválidos em arrays e assim por diante. Muitos desses defeitos são considerados falhas de segurança porque eles podem fazer com que o software quebre. Não significa que o sistema possa ser invadido por um cracker ou coisa assim. Resumindo: mais um artigo que grita "open source is not safe" para atrair gente a uma página cheia de anúncios. Outra coisa que é preciso lembrar é que desde janeiro de 2006 o Coverity está disponível para ser usado pelos committers do FreeBSD. Isto está inclusive documentado no Committers Guide: http://www.freebsd.org/doc/en/articles/committers-guide/coverity.html > > http://www.informationweek.com/blog/main/archives/2008/01/oops_look_at_th.html > > Pelo que entendi, no artigo o cara comenta sobre bugs encontrados em > softwares e sistemas operacionais... algo como FreeBSD é desatualizado, > tem > muitos bugs reportados e não corrigidos... traduzi errado? ou é esse cara > que tá conversando mer..? Como todo jornalista que se põe a falar cobre tecnologia ele fala merda. Ele obviamente não sabe como o Coverity funciona nem como é o código do FreeBSD. Na verdade eu duvido que ele esteja interessado em saber. A função dele é escrever coisas que pareçam revelações bombásticas de modo a atrair leitores e aumentar a contagem de "page views". Com isso a IW pode cobrar mais dos anunciantes. E segue o baile... Havia 605 defeitos reportados em 1582166 linhas de códico em http://scan.coverity.com/rung1.html Isso dá uma média de um defeito a cada 2615 linhas, o que já é baixo. Além disso o Coverity Prevent não é perfeito e gera muitos falsos positivos, principalmente quando o código é muito rebuscado. Nesses casos o que se faz é reorganizar o código ou incluir um comentário contendo instruindo o coverity para ignorar o suposto erro. > No final do texto do segundo link, Colin Percival fala sobre sobre os > bugs > nos últimos 4 anos, que tem falso-positivo, etc... O que o Colin Percival disse, educadamente, com "leading to confusion, such as yours" foi: o senhor não tem conhecimento suficiente para entender isso. -- Carlos A. M. dos Santos ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd