Auditoria em segurança para CF8

Para os interessados no assunto, vale a pena conhecer o relatório-resumo sobre a auditoria conduzida por uma empresa especializada (à pedido da Adobe) sobre a próxima versão do ColdFusion. Ela apresenta as conclusões de uma análise feita sob o código fonte do produto, bem como testes diversos. Leia:

Adobe ColdFusion 8 Product Security Briefing Available
ColdFusion 8 IRM Product Security Briefing

Esse tipo de material é sempre interessante ter à mão na hora de se justificar a adoção da tecnologia em uma empresa, especialmente se os decisores (gerente, diretor, etc) se mostrarem resistentes e preocupados com a questão da segurança de um produto proprietário como o Adobe CF8.

Adicionalmente, é interessante saber que o CF 7.x (por exemplo) tem apenas 13 advisories no Secunia.com ao passo que outras tecnologias como PHP, ASP e JSP tem o dobro, as vezes o triplo disso. E esta diferença se mantém constante ao se analizar as versões anteriores (6 e 5) do CF. Aí vem aquela velha questão do ovo ou da galinha: tem poucos advisories porque é uma tecnologia pouco utilizada ou porque é realmente mais segura?

Na minha opinião os dois, apesar de o CF ser bastante utilizado nos EUA, em especial em sites governamentais (alvos bem requisitados apra a ação de hackers). Mas eu também sou partidário de que a sua pouca utilização evita que falhas sejam descobertas com mais freqüência. Se você também acredita nisso, terá de concordar com a idéia de que um sistema operacional (como o Windows) tem um número brechas descobertas (e exploradas) maior do que outro (Linux, Mac), etc simplesmente porque é um SO mais utilizado (lembrando que 90% dos sistemas operacionais no mundo rodam Windows).

Mas esta argumentação é refutada por 10 entre 10 linux-zealots… Paradoxal? Também acho… E quando comparamos o CF (pouco usado e proprietário) com o PHP (muito usado e aberto)? Ok, ok… segurança é um assunto extenso e complicado, com mil e um meandros e variáveis. Mas analisando a segurança do produto “as-is“, sem entrar no mérito de aplicações mal codificadas e afins. Como explicar a diferença no número de brechas descobertas e exploradas entre PHP (digamos a versão 5.x) e ColdFusion (digamos a versão 7.x)? Alguma idéia? E antes que me digam: o PHP tem mais recursos e funcionalidades que o CF. Sinto muito, não tem não… ambos se prestam para um mesmo fim e oferecem um número fenomenal de funcionalidades e recursos.

ColdFusion 8 + Flex + Ben Forta no Rio de Janeiro

Ben Forta irá apresentar, via Connect, as novidades do CF8 e as possibilidades de integração com Flex (no mesmo estilo da sua última apresentação no Brasil) no Rio de Janeiro no próximo dia 12 (quinta-feira).

Marque na sua agenda! Maiores informações e inscrições (gratuítas) aqui .

2º Censo Nacional sobre ColdFusion

O CFUGBR convida todos para participarem do 2º mapeamento da realidade da comunidade CF brasileira! Para participar é simples. São 24 questões objetivas que não tomam nem cinco minutos para serem respondidas. O resultado deste censo será público, permitindo planejar o crescimento da tecnologia bem como o nosso crescimento profissional. Lembrando que nenhum dado pessoal será coletado, somente o e-mail será cadastrado e o CFUGBR se compromete em não divulgar nem comercializá-lo.

Para participar acesse: http://www.cfugbr.com/pesquisas/survey.cfm?id=72B8F27C-1372-FB90-29DF8153A741077D

Parabéns ao CFUGBR por mais esta excelente iniciativa!