Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft : concevoir un logiciel invulnérable est impossible
Pour le vice-président de Trustworthy Computing

Le , par Stéphane le calme

0PARTAGES

6  0 
Pendant la Security Development Conference de Microsoft qui a eu lieu à San Francisco, Scott Charney, vice-président de Trustworthy Computing (informatique de confiance) de Microsoft, a raconté les épreuves que Microsoft a subi en essayant d'apporter des correctifs à ses processus SDL (Security Development Process).

Microsoft a institué ce processus de développement logiciel en janvier 2004 dans le but de réduire les coûts de la maintenance logicielle et d'augmenter sa fiabilité au niveau sécurité et bogues. La firme en a fait usage et l'a proposé aux entreprises.

Seulement, le processus SDL s'est heurté a des difficultés quand des équipes de production voulaient avancer avec leurs propres produits mais en étaient empêchées par les nouvelles exigences de sécurité de Microsoft. Charney se rappelle de la première fois que Microsoft a eu à dire à une équipe de production qu'elle ne pouvait pas faire usage de la solution qu'elle avait développée ; « ils étaient comme des cerfs dans un phare. »

Bien que SDL ait contribué à réduire considérablement les vulnérabilités, Charney affirme que Microsoft sait qu'elle n'atteindra jamais le seuil de la vulnérabilité zéro. « Ce n'est tout simplement pas possible. Les logiciels sont écrits par des êtres humains et ils commettent des erreurs. »

Et de continuer « La raison pour laquelle nous nous devons de faire du développement sécurité c'est qu'il y a un bon pourcentage de la population qui n'est bon à rien. »

Source : Microsoft Security Development Conference 2013

Et vous ?

Que pensez-vous de ces propos ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de fregolo52
Expert confirmé https://www.developpez.com
Le 21/05/2013 à 9:36
Citation Envoyé par Stéphane le calme Voir le message
concevoir un logiciel invulnérable est impossible
Tout comme un logiciel avec zéro bug.

Qu'ils prennent donc des leçons chez OpenBSD ^^
Tant que les hackers ne s'y intéressent pas, OpenBSD peut être tranquille.
5  1 
Avatar de s4mk1ng
Membre éprouvé https://www.developpez.com
Le 20/05/2013 à 8:37
Il est impossible de faire un logiciel avec 100% de protection, la logique même veut que avec le temps il y aura toujours un jour où l'on réussira à craquer celui-ci
3  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 17/05/2013 à 21:11
La faille 32, ils ne l'auront pas

Si le seuil de vulnérabilité zéro est impossible pour OpenBSD, alors il l'est également pour tous les autres. Tout de même 2 failles découvertes depuis un sacré bout de temps.
3  1 
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 18/05/2013 à 10:43
L'invulnérabilité, l'invincibilité, l'intangibilité, la perfection… Tous ces termes n'ont de sens que dans un référentiel absolu qui n'existe pas réellement dans notre monde impermanent.

Une bonne pratique peut devenir une mauvaise pratique. Une méthode peut devenir deprecated. Un bug peut devenir une feature.
2  0 
Avatar de
https://www.developpez.com
Le 25/05/2013 à 10:33
Bonjour à tous,

@jmnicolas : OpenBSD n'est pas livré avec Firefox ??? Firefox fait parti des milliers d'applications qui peuvent être installés via le système des ports propres aux systèmes UNIX BSD.

La distribution part défaut fait à 250 Mo et elle n'intègre que l'essentiel pour la mise en place d'un serveur UNIX BSD (Ex : Kernel, gestionnaire de paquets, gcc modifié, perl, serveurs de messagerie sendmail modifié et smtpd depuis peu, shell : Ksh, apache modifié, le pare-feu PF, etc.) le tout en ligne de commande car OpenBSD n’est livré qu’avec l’un serveur X modifié sans aucun gadget du type (gnome 3 ou unity…).

OpenBSD n'a jamais eu la prétention d'être un OS pour desktop mais plutôt orienté serveurs.

Veuillez vous renseigner un minimum avant de dire n'importe quoi !!! Dire que je suis sur un site de développeurs "pro" !!!

@+
2  0 
Avatar de talon
Nouveau membre du Club https://www.developpez.com
Le 27/05/2013 à 9:15
Formellement, un logiciel est :
- soit trivial, on peut alors vérifier toutes les occurences de son fonctionnement, mais sa trivialité le rend inutile,
- soit complexe, alors le dispositif de test permettant de le qualifier dans l'absolu est encore plus complexe. Le dispositif de test doit être encore plus sûr que le logiciel à tester, ce qui est impossible du fait qu'il est lui-même plus complexe que le logiciel. Comme disaient les romains, qui seront les gardiens de nos guardiens.

Un logiciel possède un niveau de confiance (ou robustesse) plus ou moins élévé. Un logiciel complexe sans bugs, ça n'existe pas.
Par contre, il y a des logiciels qui ont plus de bugs que d'autres. On les connait.
2  0 
Avatar de CP / M
Membre actif https://www.developpez.com
Le 18/05/2013 à 16:00
Qu'ils prennent donc des leçons chez OpenBSD ^^
5  4 
Avatar de germaino_0
Membre à l'essai https://www.developpez.com
Le 25/05/2013 à 11:21
il y a un bon pourcentage de la population qui n'est bon à rien
Je n'aime pas critiquer les articles pour le plaisir, mais avez-vous lu ce que vous avez écrit ??

"there's always a percentage of the population up to no good." veut dire "il y a un pourcentage de la population habitée de mauvaises intentions".

De même,

"they were like deer in the headlights" est une expression qui signifie "ils étaient stupéfaits", pas

ils étaient comme des cerfs dans un phare.
2 erreurs de traduction affligeantes en 12 lignes de texte. Quelqu'un vérifie-t-il les articles ?
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 27/05/2013 à 0:43
Pour répondre à germaino, probablement les mêmes qui relisent le code.

Pour être plus sérieux, je ne vois pas comment faire du code exempt de bugs quand les systèmes sur lequel s’exécute le dit code sont eux-mêmes bugués.

Par ailleurs on ne peut pas faire vite et bien, donc si on sors 1 nouvelle version tous les 6 mois ...

et puis l'erreur est humaine.
1  0 
Avatar de MarieKisSlaJoue
Membre émérite https://www.developpez.com
Le 27/05/2013 à 4:23
Citation Envoyé par germaino_0 Voir le message

"they were like deer in the headlights" est une expression qui signifie "ils étaient stupéfaits", pas

ils étaient comme des cerfs dans les phares
2 erreurs de traduction affligeantes en 12 lignes de texte. Quelqu'un vérifie-t-il les articles ?
En même temps avec un cerf dans un phare y'a forcément une historie de stupéfiant quelque part.

Google trad c'est mal, l'enfoncement de porte ouverte aussi.
1  0