Mozilla, così si misura la sicurezza

Mozilla è allo studio di un nuovo modello per misurare la sicurezza del software. Il modello si baserà su dati statistici riguardanti i bachi presenti nei programmi, la velocità con cui vengono rilasciate le patch per la correzione delle vulnerabilità, e il tempo che occorre per distribuire le patch ad una certa percentuale di utenti. Le metriche terranno inoltre conto del metodo di sviluppo del software e delle tecniche per rendere tale processo più orientato alla sicurezza.

Il progetto è sviluppato principalmente a uso interno e sarà impiegato sostanzialmente per avere a disposizione una base su cui misurare in maniera oggettiva la sicurezza del browser Firefox, prodotto di punta di casa Mozilla. Il modello permetterà anche di indirizzare meglio le fasi di sviluppo e di test, e misurerà inoltre l’esposizione degli utenti Firefox alle vulnerabilità.

Per l’occasione Mozilla ha deciso di lavorare a stretto contatto con Rich Mogull, ricercatore indipendente con diciassette anni di esperienza nel campo della sicurezza, che si è detto particolarmente entusiasta di partecipare al progetto. La collaborazione è iniziata già da alcuni mesi e ha prodotto come primo risultato un foglio di calcolo con alcune indicazioni sui dati da misurare. Al momento il contenuto del documento è abbastanza scarno ma Mozilla conta di raccogliere commenti e di utilizzarlo come base per ulteriori affinamenti.

Il progetto sarà sviluppato in maniera aperta a collaborazioni esterne e sarà liberamente utilizzabile anche per altri software. Window Snyder, capo del reparto sicurezza di Mozilla, spera che anche altre organizzazioni e società possano adattare la metrica alle loro esigenze ed applicarla ai propri prodotti. Snyder indica inoltre tra i fini del progetto lo sviluppo di un modello aperto che possa essere standardizzato ed esteso ad altro software.

Le intenzioni di Mozilla sembrano quindi andare ben oltre il semplice monitoraggio dello sviluppo del proprio browser Firefox, e potrebbero avere ripercussioni anche in ambito mediatico: già in passato infatti la stessa Snyder aveva puntato il dito contro le statistiche pubblicate da Microsoft che evidenziavano come Internet Explorer fosse il browser più sicuro, criticando la metrica usata da Redmond che si basava solo sulle patch rilasciate e non sulle vulnerabilità effettive del software (un software con molte vulnerabilità e senza alcuna patch sarebbe risultato estremamente sicuro). Il modello sviluppato da Mozilla dovrà comunque cercare un ampio consenso per potersi proporre come standard e non essere tacciato a sua volta di tirare l’acqua al proprio mulino.

Una versione preliminare del lavoro fin qui svolto è scaricabile sia in formato Microsoft Excel, sia in OpenDocument. Un modello simile, dedicato ai sistemi operativi e basato sul tempo di esposizione a vulnerabilità in attesa di correzioni, è stato presentato alcuni mesi fa alla conferenza mondiale sulla sicurezza Black Hat 2008.