-=Sm()kE=-, поправлю вас, платная поддержка и подписка на обновления. Т.е. то что важно для бизнеса. И я бы не сказал, что это дорого. Более того, например, для RHEL есть бесплатные клоны. Но не это важно, а то, что в результате этот код доступен всем.
ну а как такое может быть? такое может быть только если квалификация программистов работавших над осью Б явно ниже программистов, писавших ось А.
Для написания безопасного кода немного другая квалификация нужна (те кто заинтересован в создании безопасных систем, как правило имеют в штате людей специализирующихся на этом). Да и одной квалификацией программистов проблема не решается.
Тут кто популярнее тот и дырявее, вот винда самая популярная и самая дырявая. Кто скажет что линь дырявый попрошу аргументировать.
Согласно ссылке из первого поста за последний год в ядре Linux было найдено 119 уязвимостей. Аргумент? Если рассматривать не только ядро, но и систему в целом, то за последний год только все бегали с Shellshock, POODLE (тут правда не в коде проблема), GHOST.
Цитата(Tref @ Mar 1 2015, 09:50)
неверно, просто линь мало кому интересна для написания вирусов, но с её якобы безопастностью это никак не связано. вирусы пишут для клиенских станций, а не для серверов приимущественно... цель выбить денег с пользователей, по этому как я и писал выше линь не интересна вирусописателям, профита нет, если бы линь был на месте виндовса в нем бы тоже находили постоянно уязвимости различные, впрочем подтверждение моих слов ты можешь видить на андроиде.
А причем здесь вирусы? Изначально речь о дырах в ОС шла.
Но не это важно, а то, что в результате этот код доступен всем.
Код доступен, только ведь его еще кто-то проанализировать должен. Конечно можно натравить на код всевозможные анализаторы, только все проблемы так не выявишь.
Не так: про разработчиков не работающих за так. Вот пожалуйста, со мнением выше согласен- для написания безопасного кода нужны специалисты по безопасности. Без них даже хороший программер почти наверняка лажанется. Потому говорить о безопасном коде (точнее о грамотном программировании безопасного кода) не приходится. А специалисты по безопасности берут много, и очень редко работают "на шару". Только если это не white hat. И даже не только в этом дело. Пусть кто-то профессиональный написал годный код. Но мало плюшек в нем, людям хочется больше. Этот код доработал и воткнул плюшки слабый программер. Результат- дыра. А вот найдут ли ее до релиза? Вряд ли, если основа и все плюшки работают как надо, то вряд ли кто туда сунется проверять. Почему это произошло? Потому что код открытый, работа бесплатная и задачи "сделать защищенно" нет. Есть задача "сделать как хочется", и она, очевидно, выполняется. Но какой ценой?
Что есть уязвимость? Проблема с безопасностью. ОС постоянно совершенствуются- латаются уязвимости, и заплатки прилетают в виде обновлений. И очень часто получается, что "одно лечим другое калечим", как в фармакологии прямо-таки. Соответственно, чем меньше начали обнаруживать уязвимостей, тем лучше и проработанней стал код, который вносили разработчики. Логично? Тенденция на улучшение кода сейчас- качественный продукт завтра. И таки да, играют роль именно обнаруженные уязвимости.
Получается неплохой способ измерять дырявость софта - по количеству коммитов на гитхабе Если коммит bugfix, значит полюбому был баг. Если new feature, значит наверняка еще багов добавили.
Сообщение отредактировал Witt-CG - Mar 4 2015, 00:54
Пусть кто-то профессиональный написал годный код. Но мало плюшек в нем, людям хочется больше. Этот код доработал и воткнул плюшки слабый программер. Результат- дыра. А вот найдут ли ее до релиза? Вряд ли, если основа и все плюшки работают как надо, то вряд ли кто туда сунется проверять. Почему это произошло? Потому что код открытый, работа бесплатная и задачи "сделать защищенно" нет. Есть задача "сделать как хочется", и она, очевидно, выполняется. Но какой ценой?
У вас, похоже, какая-то слишком упрощенная картина процесса разработки. Как будто каждый желающий может без контроля включать свои изменения в код релиза.
У вас, похоже, какая-то слишком упрощенная картина процесса разработки. Как будто каждый желающий может без контроля включать свои изменения в код релиза.
Учитывая общее состояние линукса и его якобы "стабильность"- именно на это и похоже. Вот удивительно, как только линуксоидам приводят статистику, они люто начинают вбрасывать говно на вентилятор, и превращают все в холивар. Успокойтесь уже, меня вы не убедите ни в чем подобном- ни линухом, ни iOS ни андроидом я никогда в жизни больше пользоваться не буду, нет желания бороться с багами, несовместимостями, тормозами и вылетами.
Сообщение отредактировал -=Sm()kE=- - Mar 5 2015, 21:11
Учитывая общее состояние линукса и его якобы "стабильность"- именно на это и похоже. Вот удивительно, как только линуксоидам приводят статистику, они люто начинают вбрасывать говно на вентилятор, и превращают все в холивар. Успокойтесь уже, меня вы не убедите ни в чем подобном- ни линухом, ни iOS ни андроидом я никогда в жизни больше пользоваться не буду, нет желания бороться с багами, несовместимостями, тормозами и вылетами.
Уважаемый вы каждый день пользуетесь линуксом потому что 99% бытовых роутеров и новых телевизоров работают на ядре linux вы просто этого не знаете.
Учитывая общее состояние линукса и его якобы "стабильность"- именно на это и похоже.
Если бы вы потратили немного времени на изучение темы, а не фантазировали о коде слабых программеров, то узнали бы, как в больших проектах, таких как ядро Linux, организуют процесс изменение кода. Специально для вас обрисую его. Ядро организованно в виде различных подсистем. Для каждой подсистемы есть мейнтейнер (его еще называют лейтенантом в рамках т.н. рабочего процесса с диктатором и лейтенантами). Изменения, предоставляемые контрибьюторами, отправляются в виде патчей вместе с комментариями в список рассылки, с копией лейтенанту. Предложенный код обсуждается специалистами и либо отклоняется, или одобряется и забирается майнтейнером в свой репозитарий. Потом накопленное у мейнтейнеров интегрируется Линусом, или диктатором, в главную ветку. Так это выглядит в общих чертах. В других проектах, кстати, это делается похожим образом.
Кстати, у меня эта "нестабильная" ОС годами без перезагрузки может работать.
Цитата(-=Sm()kE=- @ Mar 5 2015, 20:54)
Вот удивительно, как только линуксоидам приводят статистику, они люто начинают вбрасывать говно на вентилятор, и превращают все в холивар.
Чудак человек, о каком говне вы говорите? Я вообще исключительно по доброму отвечал, старался никого не провоцировать в этой вашей явно провокационной теме.
К слову, любую статистику еще нужно уметь правильно анализировать, интерпретировать. Конкретно в данном случае нужно обращать внимание на такие моменты, как количество обнаруженных уязвимостей по категориям критических, средних и не особо важных. На то, как быстро закрывают первые, вторые и третьи. На то, сколько среди них уязвимостей, эксплуатируемых локально, а сколько по сети. Какие конкретно версии продуктов им подвержены (не так как делается в этом ангажированном обзоре - в одном случае суммируются уязвимости всех версий, а в другом делается разбивка по версиям). Это только то, что пришло мне на ум в первую очередь, но думаю, что список можно продолжить дальше. И вот я вам скажу, что когда в прошлом я интересовался этой темой, то расклад получался не в пользу мелкомягких. Если же сейчас ситуация поменялась, то значит они поработали над своими ошибками и тогда они молодцы.
Цитата(-=Sm()kE=- @ Mar 5 2015, 20:54)
Успокойтесь уже, меня вы не убедите ни в чем подобном- ни линухом, ни iOS ни андроидом я никогда в жизни больше пользоваться не буду, нет желания бороться с багами, несовместимостями, тормозами и вылетами.
Так вас никто и не уговаривает. Это ваше личное дело. Я вот не ограничиваю себя в инструментах и использую все, что может принести мне профит.