[LUG.ro] Seguridad?

Federico Wiecko lugro@lugro.org.ar
22 Oct 2003 13:04:48 -0300


Los lenguajes funcionales como Haskell, Scheme(es funcional impuro) por
la construccion misma no pueden fallar, esto quiere decir el algoritmo
mismo es una prueba de que el programa esta bien hecho, bastante
distinto de lo que sucede con la programacion imperativa. Ahora, no
confundir, que un programa este bien hecho no significa necesariamente
que cumpla con lo pedido(el programador puede interpretarlos los
requisitos erroneamente), o que la performance sea optima (muchas veces
no lo es :-)) 
Haciendo una ingenieria de software seria se utiliza lo que se llaman
metodos formales. Por medio de lenguajes al estilo Z se especifican las
pre y post condiciones que debe cumplir una llamada o funcion y una vez
escrito el algoritmo, se debe probar que el mismo cumple con la
especificacion formal.
Llendo mas alla, existen otros softwares como por ejemplo COQ que
tambien se utilizan en Ing.Soft que permiten hacer pruebas en base a la
construccion de los algoritmos en si, ya sea hecha en programacion
imperativa o funcional.Respecto a la seguridad, como con cualquier otra
propiedad del software es posible especificar pre y post condiciones
sobre los programas. 

Respecto a los estandares de seguridad, uno de los primeros estandares
de seguridad fue creado por el Departamento de Defenza (DoD)
norteamericano, conocido como el libro naranja o tambien como Trusted
Computer System Evaluation Criteria donde se ranquea el software en base
a estudios que involuran  metodos formales empleados, canales de
cubrimiento, resistencia a la penetracion del sistema, etc etc.
Actualmente existen estandares mas actualizados sobre la categorizacion
del software.

No los aburro mas pero creo que el software todavia esta en pañales,
como ustedes sabran la mayoria de las veces que se bajan un programa
estan aceptando el "NO WARRANTY" , algo que obviamente deberá cambiar.

Saludos,
Federico :-

El mié, 22-10-2003 a las 11:42, Magnanego, Nestor escribió:
> Si pensamos que la ing. de soft. es el arte de vérselas con la complejidad,
> la única
> manera de que alguien pueda decir que sus productos son 100% seguros  seria
> que todos sus programas tendrían que ser testeados a nivel de lo que se hace
> con una función matemática,
> es decir la completitud y seguridad de los programas tendrían que ser
> comprobados matemáticamente.Dicen que los lenguajes
> funcionales(scheme,guile,caml..) y los lenguajes lógicos(prolog) permitirián
> generar soft. mas seguro en cuanto a su calidad de diseño, es decir un
> diseño mas ingenieril, que "artistico".
> Saludos.
> Nestor.
> 
> > -----Mensaje original-----
> > De: Alejandro Gomez Fernandez [mailto:agomez@micropack.com.ar]
> > Enviado el: martes 21 de octubre de 2003 16:39
> > Para: lugro
> > Asunto: [LUG.ro] Seguridad?
> > 
> > 
> > Vean esta nota: 
> > http://searchwin2000.techtarget.com/originalContent/0,289142,s
> > id1_gci932906,00.html en donde dice que microsoft se hace 
> > responsable por las fallas de seguridad (o al menos eso 
> > sugiere)... Significa esto que "alguien" le podria hacer 
> > juicio por los problemas que le causó su s.o. debido a 
> > algunas fallas reconocidas por ellos? Hasta que punto llega 
> > la responsabilidad? Como puede saber un usuario si un parche 
> > REALMENTE soluciona un problema determinado (y no otro) y a 
> > su vez que no genera un nuevo problema de seguridad (en 
> > especial si se distribuye solo un binario "minimo" que se 
> > encarga, supuestamente, de bajar de internet el resto del 
> > "programa" que emparcha el s.o.)?
> > Ahora, y pregunto esto porque lo desconozco, como se puede 
> > "certificar"
> > un parche en gnu/linux? Existe algun tipo de control "oficial" de un
> > parche? Quien se encarga de hacerlo? El propio grupo que desarrolla el
> > paquete? Es esto aconsejable o no?
> > Tal vez este tema de para un intercambio de ideas al respecto...
> > 
> > 
> > 
> > 
> > Alejandro.
> > 
> > 
> > 
> > _______________________________________________
> > Lugro mailing list
> > Lugro@lugro.org.ar
> > http://www.lugro.org.ar/mailman/listinfo/lugro
> > 
> 
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
>