Поискал по слову password в репозиториях тех проектов, там везде есть что-то типа
"static netplay_t *handshake_password_netplay = NULL;" и "if (password == NULL)". Очень похоже, что их анализатор любое сочетание password и NULL или "" в  одной строке считает критической уязвимостью, не вдаваясь в контекст и логику использования.

1. Заявление, что разработчикам сообщили об уязвимостях, ничем не подтверждено. В багтрекере и базе CVE ничего (смотрел для 5-6 указанных проектов), в дополнение к этому авторам GIMP и Krita точно ничего не писали в почту и мейллисты. Ростелеком-Солар на это говорит, мол, ну бывают же разные версии одного опенсорсного проекта, могли послать куда-то не туда. Я б хотел посмотреть на "не ту" Криту. Или "не тот" гимп.

2. Чтобы получить отчёт, надо быть автором исследованного проекта и подписать NDA. То есть тебе дают какие-то странные результаты о твоём же проекте, а ты их даже не можешь показать. ШТО?

PVS-Studio как-то приличнее пиарились.

Весь мир ни о чем...

(подозреваю, РТК собирается продавать или этот чудо-анализатор/антивирус/или кто он там с их точки зрения или альтернативы "дырявому" софту)

кто все эти люди и почему они не в армии?

Почему все что делают в Ростелекоме вызывает жгучий стыд и желание забыть о существовании этой организации?

Простите, а этот текст - точно новость?
В pdf'ке по ссылке чёрным по белому написано: "Дополнительная информация предоставляется по запросу". Если выводы исследования вызывают у автора новости столько сомнений, что помешало направить авторам исследования этот самый запрос?

Понятно, что для товарища майора любая свобода есть зло, и такими заказными статейками он пытается очернить Open Source в глазах простого обывателя. С другой стороны, только из вашей новости и узнал о существовании ихнего сайта (и тут же забыл). Так что сильно своей вонью товарищ майор не навредит. :)

У Ростелекома отстойнейший интернет, и уже несколько лет DPI. Это к слову, если кто-то вдруг решит на них перейти. Более худшей техподдержки, кстати, тоже не видел.

> Указано, что была проведена проверка с использованием "автоматизированного сканирования" и "методов статического, динамического и интерактивного анализа.

Много модных слов, а на деле сись-админ Васян (или его помощник-эникей) просто не разобрались в выхлопе статистического анализатора, нехватило квалификации.

Так а выводы, выводы то какие, Зин? Windoz надо ставить? БайКАЛ ОС? Что предлагают то? ;)

Статью прочитал. Остаются вопросы.

1) Кто такой Евгений Левашов?
Ну окей, я понял, что он IT-райтер из Калининграда, что много и давно пишет. Но во всяком случае именно на его статью "11 лучших программ с открытым исходным кодом в 2020 году" ссылается исследование.
https://levashove.ru/11-best-open-source-software/

Но почему выбрали именно его статью? Он райтер. Не хакер, не специалист в области кибербезопасности, не менеджер крупного проекта. Он просто обозреватель.

В статье автор просто составил список программ, которые ему нравятся, и сформировал эдакий Топ-11. Он не утверждал, что это самые безопасные или безбажные программы. Это именно что "11 лучших, на мой взгляд, программ" (цитата).

В общем, не понятно, почему была сделана именно такая выборка, и какова её репрезентативность.

2) Основанием для выбора именно этих программ для исследования было обозначено, цитирую: "основными критериями для включения приложений в обзор его автор обозначил популярность среди пользователей и безопасность, сославшись на многочисленные поддерживающие приложения комьюнити."

Ничего подобного этот самый Левашов не писал. Цитирую первый абзац статьи Левашова: "Почему стоит использовать программы с открытым исходным кодом? Во-первых, они бесплатны. Во-вторых — безопасны, так как их разработку поддерживает и проверяет большое комьюнити по всему мире. Вот 11 лучших, на мой взгляд, программ."

Переврали так переврали.

3) Большая часть статьи ни о чём. Ну как ни о чём. Она содержит совершенно корректную информацию о типовых уязвимостях и рекомендации разработчикам, как их избежать. Все мы и так о них в курсе. Эта информация к теме статьи не имеет отношения. Стало быть целевая аудитория статьи -- это не специалисты в области ИБ.

4) Авторы статьи делают весьма противоречивые выводы. "Исследование защищенности популярных приложений для ПК с открытым исходным кодом показало, что в целом выбранные приложения демонстрируют уровень защищенность выше среднего по отрасли показателя в 2.2 балла".

Я очень сомневаюсь, что слово "популярные" уместно употреблять по отношению к программам из данного списка. Brave и Libre Office -- окей, тут вопросов нет. Но многим ли юзерам нужен графический редактор типа GIMP или Krita? У них весьма узкая аудитория. TestDist, Dia, BleachBit, Notepad++, Search Everything, RetroArch -- нет, ну вы серьёзно что ли? Да бьюсь об заклад, что большинство посетителей opennet -- вроде бы не таких уж далёких от СПО людей -- наверняка услышали о большинстве из них впервые.

5) Оценка, выставляемая Solar appScreener, явно нелинейно зависит от количества и типа уязвимостей. В статье утверждается, что средний по отрасли показатель -- это 2.2/5. Не понятно: 2.2 -- это хорошо или плохо? Чтобы эти цифрыp значили хоть что-то, необходимо дать читателю хоть какое-то метрическое пространство. Вот 2.1 это сильно хуже, чем 2.2? А 4.8 сильно ли отличается от 2.2 в лучшую сторону?

PS: по поводу данной новости -- всё-таки надо отдавать себе отчёт, что Ростелеком-Солар -- это отдельная компания, хоть и купленная несколько лет назад Ростелекомом. До этого они были известны как Solar Security, а ещё до этого были одним из подразделением Jet Infosystems. Так что исследование произвёл именно что Ростелеком-Солар, это вам не один хрен. Если Rad Hat сделает заявление, вы ж не станете писать статью с заголовком, мол, "IBM заявил".

Это обычный конец года. Чтобы лавка или новое подразделение, созданное под нужных людей, было прибыльным, делается оплаченная "работа". Поэтому и вышло в декабре, деньги должны быть освоены. Поскольку специалистов нанимать дорого, а студенты за еду пишут чушь, а вилка позволяет нанять только понятно кого, так и вышло.

Опять Обама подгадил или уже Байден перехватил эстафету?

Дальше не читал, сразу осуждаю. Новости ставлю свой авторитетный "минус".

С кого получать откаты за либре офис? То-то и оно.

И заметьте, у каждого дистра GNU/Linux свои "сишные дыры".