Новости IT

[• quadro16]

таки да? почему ГОСам низя просто скачать OpenSource и использовать? почему обязательно купить надо? с покупкой какието сертификаты нужна обязательные?

Опенсорс не всегда значит безопасно с гарантией. Мировое сообщество разработчиков может заложить бекдоры, уже были примеры, когда ПО видит, что русская раскладка, начинаются проблемы. К тому же, нельзя точно сказать, как в дальнешейм будет поддерживаться и развиваться опенсорс, и будет ли. А проприетарный проект даёт некие гарантии.

[• newkid]

Опенсорс не всегда значит безопасно с гарантией. Мировое сообщество разработчиков может заложить бекдоры, уже были примеры, когда ПО видит, что русская раскладка, начинаются проблемы. К тому же, нельзя точно сказать, как в дальнешейм будет поддерживаться и развиваться опенсорс, и будет ли. А проприетарный проект даёт некие гарантии.

Не спорю и в открытые проекты можно вставить бекдор, но ПО с открытым исходным кодом проще произвести аудит. И да Astra linux SE это коммерческое ПО с закрытым исходным кодом.
Windows начиная с версии Виста стучится на сервера Майкрософт и передает статистику. А Виндовс 10 это делает начиная с установки. Помнится Майкрософт хвастала что к безопасности Windows Vista приложила руку АНБ, откуда сбежал товарищ Эдик Сноуден, потом Майки эту инфу старательно подтерли.
Так что это ересь что иностранное проприетарное ПО дает какие-то гарантии.

И еще про гарантии Циско послала нахер всех сетивиков из России, Солид Эйдж сделал тоже самое, так что делайте выводы сами, нужно свое с шахматами и поэтессами

Сообщение отредактировал newkid - Dec 1 2023, 14:58

[• quadro16]

Не спорю и в открытые проекты можно вставить бекдор, но  ПО с открытым исходным кодом проще произвести аудит. И да Astra linux SE  это коммерческое ПО с закрытым исходным кодом.
Windows начиная с версии Виста стучится на сервера Майкрософт и передает статистику. А Виндовс 10 это делает начиная с установки. Помнится Майкрософт хвастала что к безопасности Windows Vista приложила руку АНБ, откуда сбежал товарищ Эдик Сноуден, потом Майки эту инфу старательно подтерли.
Так что это ересь что иностранное проприетарное ПО дает какие-то гарантии.

Про иностранное речь и не идёт, его действительно могут отключить или задействовать в своих целях удалённо. Потому и появилось требование перейти на российские разработки, проверенные фебосами. Код в них закрытый только для широкого круга потребителей, а для кого надо - для тех открытый ) Ну и понятное дело, что они, скорее всего, напихали туда своих пасхалок, но хотя не бы не АНБшных. )

[• ZlyddeN]

А проприетарный проект даёт некие гарантии.

Гарантии чего? что нет бекдора?
делаю вывод, что все дело в замене colonel Johnson from NSA/CIA на товарища майора Петрова из МВД/ФСБ

--------------------

Я плохой — и это хорошо. Я не стану хорошим — но это не плохо.

[• jazis]

делаю вывод, что все дело в замене colonel Johnson from NSA/CIA на товарища майора Петрова из МВД/ФСБ

и ещё есть вероятность, что заменят только эту надпись, а код останется прежним

--------------------

Исторические факты
Вкусно готовим

[• i_garry]

Есть одно но. Все эти бэкдоры могут быть и в железе. Хоть Астру поставь, что Windows - железо может слать все сетевые пакеты и на сервера АНБ, ЦРУ и прочая... А наших процессоров, чипсетов и прочая можно сказать что и нету. Байкалы и то в Китае делают - и туда могут впихнуть свои закладки.
Вон, комп если выключен, то сетевуха все равно моргает - хрен знает что она делает...

[• jazis]

Есть одно но. Все эти бэкдоры могут быть и в железе. Хоть Астру поставь, что Windows - железо может слать все сетевые пакеты и на сервера АНБ, ЦРУ и прочая...

ага. а отревьюить прям вообще весь код во всех пакетах - задача немношк астрономически сложная

--------------------

Исторические факты
Вкусно готовим

[• newkid]

ага. а отревьюить прям вообще весь код во всех пакетах - задача немношк астрономически сложная

В пакетах и не кто не предлагает, в исходниках можно, давно есть статические анализаторы кода типа cppcheck или проприетарных PVS-Studio.

[• Bengan]

Ну и понятное дело, что они, скорее всего, напихали туда своих пасхалок, но хотя не бы не АНБшных. )

По мне так пусть лучше от анб (они далеко), чем от товарища, понимаете ли, нашего майора.

--------------------

«Умение говорить — ещё не признак интеллекта» (К.Джинн)

[• Gamboge]

В пакетах и не кто не предлагает, в исходниках можно, давно есть статические анализаторы кода типа  cppcheck или проприетарных PVS-Studio.

Эти анализаторы и правда умеют искать бэкдоры?

[• Gamboge]

К тому же, нельзя точно сказать, как в дальнешейм будет поддерживаться и развиваться опенсорс, и будет ли. А проприетарный проект даёт некие гарантии.

Вы "опенсорс" и "проприетарный проект" местами не перепутали? В случае опенсорса все есть в свободном доступе и даже если авторы прекратят его поддерживать и развивать, можно будет найти других людей которые согласятся его поддерживать и развивать. А вот в случае проприетарного проекта можно остаться с носом и чтобы такого не произошло на западе уже давно есть практика привлечения третьих лиц, которые хранят у себя исходный код и раскрывают его, когда наступит черный день.

[• Bravo]

Эти анализаторы и правда умеют искать бэкдоры?

умеют конечно. Вот только фолзов куча и кому-то надо разбирать отчёты. А вообще PVS это больше за качество кода, а не за безопасность. cppcheck - это немного несерьёзно, это было классно десять лет назад.
Смотрите продукты Solar AppScreener, например, современные, которые в CI|CD интегрируются..

[• quadro16]

Вы "опенсорс" и "проприетарный проект" местами не перепутали? В случае опенсорса все есть в свободном доступе и даже если авторы прекратят его поддерживать и развивать, можно будет найти других людей которые согласятся его поддерживать и развивать. А вот в случае проприетарного проекта можно остаться с носом и чтобы такого не произошло на западе уже давно есть практика привлечения третьих лиц, которые хранят у себя исходный код и раскрывают его, когда наступит черный день.

Не перепутал. То, что там на западе, и как оно там на западе, теперь на востоке работает по-другому.

[• quadro16]

По мне так пусть лучше от анб (они далеко), чем от товарища, понимаете ли, нашего майора.

Товарищ майор с заместителем вам минусов наставили.

[• Gamboge]

Не перепутал. То, что там на западе, и как оно там на западе, теперь на востоке работает по-другому.

Допустим некоторое ООО "Рога и копыта" продает собственную разработку с закрытым исходным кодом, а потом бац - у них проблемы и по своим обязательствам они уже не отвечают. И кто вам будет в дальнейшем поддержку предоставлять? А тут, как назло, в их разработке еще и критическую уязвимость находят, которой даже школьник может воспользоваться. Кто вам поможет если нет доступа к исходному коду?