[Owasp-greece] Oracle vs Veracode (security in the supply chain)

Athanasios Kostopoulos athanasioskostopoulos at gmail.com
Wed Sep 7 07:25:33 EDT 2011


Γεια χαρα σε ολους,

Πολυ ωραια και αντικειμενικη κατ'εμε η απαντηση του Rafal Los

Θα κανω το δικηγορο του διαβολου, στην προκειμενη περιπτωση της Oracle.
Ολα τα σχολια που εχω δει, που στρεφονται κατα της Oracle, αγνοουν τις
εξης παραμετρους:

1) Το source code της Oracle ειναι ενα asset το οποιο προσωπικα πιστευω
καμμια μα καμμια εταιρεια δεν θα εδινε προς τα εξω, ιδιαιτερα για τα
hi-end προιοντα της (κατι το οποιο αναφερει και η Oracle στο blog post
της). Επειδη αρκετοι απο οσους παρακολουθειτε αυτη τη λιστα ειστε σε
managerial θεσεις, θα υπογραφατε εσεις ωστε να αποκτησει προσβαση
καποιος τριτος στο critical multi-billion dollar asset της εταιρειας, με
οτι ασφαλιστικες δικλειδες και αν υπηρχαν;

2) To complexity του να κανεις source code auditing σε κατι οπως μια
"βαρια" Oracle δεν ειναι αμεσα συγκρισιμο με το να κανεις reverse
engineering, σε σημειο που μπορεις με παρεμφερες "κοπο"
να κανεις το 2ο και να εξαγεις χρησιμα metrics? Aπο οτι εχω ακουσει τα
εκτελεσιμα της Oracle δεν εχουν και κανα τρελο armouring, οποτε μια
σοβαρη ομαδα reversers  θα μπορουσε να εξαγει συμπερασματα σχετικα
γρηγορα. Ο αντιλογος οτι ειναι τεραστια binaries ισχυει και για το
source code. Αν εγω ειμαι πελατης η 3η αρχη και θελω να εχω μια
εμπεριστατωμενη αποψη για την ασφαλεια της Χ εφαρμογης, με τον vendor
της Χ εφαρμογης να ειναι ο 800-pound gorilla ωστε να ειναι ικανος να
κανει την πωληση χωρις να δωσει το source code, θα επαιρνα μια ομαδα
reversers και λιαν συντομως θα ειχα χρησιμα metrics. Οποτε το θεμα ειναι
να εχει ο πελατης καποια χρησιμα security metrics για το (ακριβο!)
λογισμικο το οποιο αγοραζει (κατι με το οποιο συμφωνω ΑΠΟΛΥΤΑ), κατι για
το οποιο το source code auditing (του οποιου ειμαι μεγαλος οπαδος) δεν
ειναι μονοδρομος.

Εχω και καποια αλλα συμπερασματα, αυστηρα προσωπικα, οποιος θελει να
συζητησουμε περισσοτερα πραγματα μπορει να μου στειλει offlist mail



On 09/07/2011 10:45 AM, Konstantinos Papapanagiotou wrote:
> Σχόλιο και από τον Rafal Los της HP (βλ. Fortify):
> http://h30499.www3.hp.com/t5/Following-the-White-Rabbit-A/Auditing-vs-Building-Secure-Software-An-Inconvenient-Argument/ba-p/5320945
>
>
> 2011/9/1 Konstantinos Papapanagiotou <conpap at di.uoa.gr>:
>> Τις τελευταίες μέρες έχει γίνει μεγάλος χαμός με ένα blog post της CSO
>> της Oracle (http://blogs.oracle.com/maryanndavidson/entry/those_who_can_t_do)
>> στο οποίο κράζει έναν SAST provider χωρίς να τον κατονομάζει, αλλά
>> εννοώντας εμμέσως πλην σαφώς τη Veracode.
>>
>> Η Veracode απάντησε επίσημα χθες
>> (http://www.veracode.com/blog/2011/08/musings-on-custers-last-stand/)
>> ενώ είχαν προηγηθεί χιλιάδες σχόλια στο twitter (ενδεικτικά δείτε τα
>> timelines των @WeldPond και @chriseng).
>>
>> Πέρα από τα θέματα πολιτικής και ανταγωνισμού, τα άρθρα έχουν
>> ιδιαίτερο ενδιαφέρον για τις απόψεις περί security testing του
>> software που προμηθεύεται ένας οργανισμός.
>>
>> ΚΠ
>>
> _______________________________________________
> Owasp-greece mailing list
> Owasp-greece at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-greece



More information about the Owasp-greece mailing list