Новости IT

[• jem]

-=Sm()kE=-, поправлю вас, платная поддержка и подписка на обновления. Т.е. то что важно для бизнеса. И я бы не сказал, что это дорого. Более того, например, для RHEL есть бесплатные клоны. Но не это важно, а то, что в результате этот код доступен всем.

--------------------

C, Clojure(Script), Common Lisp, ECMAScript, Haskell, Java, Lua, Perl, PL/SQL, Python, Scala, SQL, Transact-SQL.

[• ab-sneg]

ога, microsoft удивляэ

[• foo-bar]

ну а как такое может быть? такое может быть только если квалификация программистов работавших над осью Б явно ниже программистов, писавших ось А.

Для написания безопасного кода немного другая квалификация нужна (те кто заинтересован в создании безопасных систем, как правило имеют в штате людей специализирующихся на этом). Да и одной квалификацией программистов проблема не решается.

[• foo-bar]

Тут кто популярнее тот и дырявее, вот винда самая популярная и самая дырявая.
Кто скажет что линь дырявый попрошу аргументировать.

Согласно ссылке из первого поста за последний год в ядре Linux было найдено 119 уязвимостей. Аргумент? Если рассматривать не только ядро, но и систему в целом, то за последний год только все бегали с Shellshock, POODLE (тут правда не в коде проблема), GHOST.

неверно, просто линь мало кому интересна для написания вирусов, но с её якобы безопастностью это никак не связано.
вирусы пишут для клиенских станций, а не для серверов приимущественно... цель выбить денег с пользователей, по этому как я и писал выше линь не интересна вирусописателям, профита нет, если бы линь был на месте виндовса в нем бы тоже находили постоянно уязвимости различные, впрочем подтверждение моих слов ты можешь видить на андроиде.

А причем здесь вирусы? Изначально речь о дырах в ОС шла.

[• foo-bar]

Но не это важно, а то, что в результате этот код доступен всем.

Код доступен, только ведь его еще кто-то проанализировать должен. Конечно можно натравить на код всевозможные анализаторы, только все проблемы так не выявишь.

[• jem]

foo-bar, речь не про верификацию кода, а про якобы непрофессиональных разработчиков.

--------------------

C, Clojure(Script), Common Lisp, ECMAScript, Haskell, Java, Lua, Perl, PL/SQL, Python, Scala, SQL, Transact-SQL.

[• -=Sm()kE=-]

а про якобы непрофессиональных разработчиков.

Не так: про разработчиков не работающих за так. Вот пожалуйста, со мнением выше согласен- для написания безопасного кода нужны специалисты по безопасности. Без них даже хороший программер почти наверняка лажанется. Потому говорить о безопасном коде (точнее о грамотном программировании безопасного кода) не приходится. А специалисты по безопасности берут много, и очень редко работают "на шару". Только если это не white hat.
И даже не только в этом дело. Пусть кто-то профессиональный написал годный код. Но мало плюшек в нем, людям хочется больше. Этот код доработал и воткнул плюшки слабый программер. Результат- дыра. А вот найдут ли ее до релиза? Вряд ли, если основа и все плюшки работают как надо, то вряд ли кто туда сунется проверять. Почему это произошло? Потому что код открытый, работа бесплатная и задачи "сделать защищенно" нет. Есть задача "сделать как хочется", и она, очевидно, выполняется. Но какой ценой?

[• Witt-CG]

из- за нежелания профессионалов высокого класса работать "за так", ведь наш мир так или иначе построен на принципах получения прибыли, не так ли?

Эти непрофессионалы похоже работают за так.
Хотя могли бы, как нормальные посоны, получать прибыли.

Что есть уязвимость? Проблема с безопасностью. ОС постоянно совершенствуются- латаются уязвимости, и заплатки прилетают в виде обновлений. И очень часто получается, что "одно лечим другое калечим", как в фармакологии прямо-таки. Соответственно, чем  меньше начали обнаруживать уязвимостей, тем лучше и проработанней стал код, который вносили разработчики. Логично?  Тенденция на улучшение кода сейчас- качественный продукт завтра.
И таки да, играют роль именно обнаруженные уязвимости.

Получается неплохой способ измерять дырявость софта - по количеству коммитов на гитхабе
Если коммит bugfix, значит полюбому был баг.
Если new feature, значит наверняка еще багов добавили.

Сообщение отредактировал Witt-CG - Mar 4 2015, 00:54

[• jem]

Пусть кто-то профессиональный написал годный код. Но мало плюшек в нем, людям хочется больше. Этот код доработал и воткнул плюшки слабый программер. Результат- дыра. А вот найдут ли ее до релиза? Вряд ли, если основа и все плюшки работают как надо, то вряд ли кто туда сунется проверять. Почему это произошло? Потому что код открытый, работа бесплатная и задачи "сделать защищенно" нет. Есть задача "сделать как хочется", и она, очевидно, выполняется. Но какой ценой?

У вас, похоже, какая-то слишком упрощенная картина процесса разработки. Как будто каждый желающий может без контроля включать свои изменения в код релиза.

--------------------

C, Clojure(Script), Common Lisp, ECMAScript, Haskell, Java, Lua, Perl, PL/SQL, Python, Scala, SQL, Transact-SQL.

[• -=Sm()kE=-]

У вас, похоже, какая-то слишком упрощенная картина процесса разработки. Как будто каждый желающий может без контроля включать свои изменения в код релиза.

Учитывая общее состояние линукса и его якобы "стабильность"- именно на это и похоже.
Вот удивительно, как только линуксоидам приводят статистику, они люто начинают вбрасывать говно на вентилятор, и превращают все в холивар. Успокойтесь уже, меня вы не убедите ни в чем подобном- ни линухом, ни iOS ни андроидом я никогда в жизни больше пользоваться не буду, нет желания бороться с багами, несовместимостями, тормозами и вылетами.

Сообщение отредактировал -=Sm()kE=- - Mar 5 2015, 21:11

[• jazis]

-=Sm()kE=-, да мы знаем-знаем. очень плохая ос.

--------------------

Исторические факты
Вкусно готовим

[• newkid]

Учитывая общее состояние линукса и его якобы "стабильность"- именно на это и похоже.
Вот удивительно, как только линуксоидам приводят статистику, они люто начинают вбрасывать говно на вентилятор, и превращают все в холивар. Успокойтесь уже, меня вы не убедите ни в чем подобном- ни линухом, ни iOS ни андроидом я никогда в жизни больше пользоваться не буду, нет желания бороться с багами, несовместимостями, тормозами и вылетами.

Уважаемый вы каждый день пользуетесь линуксом потому что 99% бытовых роутеров и новых телевизоров работают на ядре linux вы просто этого не знаете.

[• pfg]

-=Sm()kE=-, приведите качественную ос, способную заместить линукс на его месте ??

--------------------

Снег тихонько все украл
сразу стало тихо

[• jem]

Учитывая общее состояние линукса и его якобы "стабильность"- именно на это и похоже.

Если бы вы потратили немного времени на изучение темы, а не фантазировали о коде слабых программеров, то узнали бы, как в больших проектах, таких как ядро Linux, организуют процесс изменение кода. Специально для вас обрисую его. Ядро организованно в виде различных подсистем. Для каждой подсистемы есть мейнтейнер (его еще называют лейтенантом в рамках т.н. рабочего процесса с диктатором и лейтенантами). Изменения, предоставляемые контрибьюторами, отправляются в виде патчей вместе с комментариями в список рассылки, с копией лейтенанту. Предложенный код обсуждается специалистами и либо отклоняется, или одобряется и забирается майнтейнером в свой репозитарий. Потом накопленное у мейнтейнеров интегрируется Линусом, или диктатором, в главную ветку. Так это выглядит в общих чертах. В других проектах, кстати, это делается похожим образом.

Кстати, у меня эта "нестабильная" ОС годами без перезагрузки может работать.

Вот удивительно, как только линуксоидам приводят статистику, они люто начинают вбрасывать говно на вентилятор, и превращают все в холивар.

Чудак человек, о каком говне вы говорите? Я вообще исключительно по доброму отвечал, старался никого не провоцировать в этой вашей явно провокационной теме.

К слову, любую статистику еще нужно уметь правильно анализировать, интерпретировать. Конкретно в данном случае нужно обращать внимание на такие моменты, как количество обнаруженных уязвимостей по категориям критических, средних и не особо важных. На то, как быстро закрывают первые, вторые и третьи. На то, сколько среди них уязвимостей, эксплуатируемых локально, а сколько по сети. Какие конкретно версии продуктов им подвержены (не так как делается в этом ангажированном обзоре - в одном случае суммируются уязвимости всех версий, а в другом делается разбивка по версиям). Это только то, что пришло мне на ум в первую очередь, но думаю, что список можно продолжить дальше. И вот я вам скажу, что когда в прошлом я интересовался этой темой, то расклад получался не в пользу мелкомягких. Если же сейчас ситуация поменялась, то значит они поработали над своими ошибками и тогда они молодцы.

Успокойтесь уже, меня вы не убедите ни в чем подобном- ни линухом, ни iOS ни андроидом я никогда в жизни больше пользоваться не буду, нет желания бороться с багами, несовместимостями, тормозами и вылетами.

Так вас никто и не уговаривает. Это ваше личное дело. Я вот не ограничиваю себя в инструментах и использую все, что может принести мне профит.

--------------------

C, Clojure(Script), Common Lisp, ECMAScript, Haskell, Java, Lua, Perl, PL/SQL, Python, Scala, SQL, Transact-SQL.

[• dka]

Что создано человеком, то и ломается им

--------------------

"Бездомные" "пингвины"