>"auditer l'ensemble du code" ca signifie que tout le code present sur le CD de Windows a ete passe en revue.
Pour avoir déja travaillé dans le domaine je sais que l'audit de code source est quelque chose d'assez chiant à faire et que rien ne prouve que cela a été fait correctement. D'autant que les outils pour faire ca sont quasiment inexistant ou vraiment tout pourris donc on est obligé de faire une grande partie de la chose à la main. Et franchement vouloir faire croire que plusieurs dizaines de millions de lignes de codes ont été audités correctement par des auditeurs compétents en deux mois (tu avais dis ca dans un de tes précédents posts), je n'y crois pas une seconde, il ne doit y avoir que certains bouts qui ont été réelement audité ou alors ca a été baclé comme pas possible (genre ils ont passé un soft qui recherche certaines instructions dangeureuses genre scanf).
De plus, l'experience montre que les principaux problèmes de sécurité ne viennent pas vraiment du code lui même (si on trouve un trou de sécu genre buffer overflow dans le code ca se corrige, en quelques mois c'est un mauvais souvenir) mais des principes de conceptions plus généraux, par exemple une mauvaise implémentation de kerberos (le code est correct mais le principe retenu laisse à désirer). Est-ce que ca a été audité aussi ?
>"reecrit des pans entier" ca signifie que des parties ont ete reecrites suite aux resultats de >l'audit.
Et comment se sont déroulés les tests relatifs à la réécriture de pans entier d'un os comme windows ?
[^] # Re: Trusted ?
Posté par Aza . En réponse à la dépêche Windows .Net et Solaris 9. Évalué à 10.
Pour avoir déja travaillé dans le domaine je sais que l'audit de code source est quelque chose d'assez chiant à faire et que rien ne prouve que cela a été fait correctement. D'autant que les outils pour faire ca sont quasiment inexistant ou vraiment tout pourris donc on est obligé de faire une grande partie de la chose à la main. Et franchement vouloir faire croire que plusieurs dizaines de millions de lignes de codes ont été audités correctement par des auditeurs compétents en deux mois (tu avais dis ca dans un de tes précédents posts), je n'y crois pas une seconde, il ne doit y avoir que certains bouts qui ont été réelement audité ou alors ca a été baclé comme pas possible (genre ils ont passé un soft qui recherche certaines instructions dangeureuses genre scanf).
De plus, l'experience montre que les principaux problèmes de sécurité ne viennent pas vraiment du code lui même (si on trouve un trou de sécu genre buffer overflow dans le code ca se corrige, en quelques mois c'est un mauvais souvenir) mais des principes de conceptions plus généraux, par exemple une mauvaise implémentation de kerberos (le code est correct mais le principe retenu laisse à désirer). Est-ce que ca a été audité aussi ?
>"reecrit des pans entier" ca signifie que des parties ont ete reecrites suite aux resultats de >l'audit.
Et comment se sont déroulés les tests relatifs à la réécriture de pans entier d'un os comme windows ?