>>Вы таки телепат? Кроме просмотра кода вы других методов анализа не знаете?
>
>Ну расскажите нам, вместе посмеёмся. Ага, смейся паяц и тд по тексту.
>Помнится дебиановцы OpenSSL через Coverity прогнали, поправили
>то что он нашёл, в итоге получили предсказуемый ГПСЧ, если мне
>склероз не изменяет и предсказуемый генератор ключей. Через 9 месяцев вернули
>всё назад конечно, но осадок остался ;)
И что? Это доказывает, что больше методов нет? Или кроме случая с ОпенССЛ вспомнить нечего?
>>Не учитываете что анализ кода делается не от адама, что анализируется критичный
>>для вас лично код. Не говоря что в опенсорсе никто вам
>>ничем не обязан. Вам дана возможность, ловите рыбу. А про низкую
>>квалификацию это вы в бане не скажите, шайками забросают.
>>На основании двух примеров вы делаете вывод насколько глобальный, настолько и некорректный.
>
>Давайте подумает логично, на примере того злополучного дебиановского патча. OpenSSL - это
Попробуйте.
>одна из основных подсистем отвечаютщих за безопасность, это очень важная подсистема
>и нужно чтобы в ней было как можно меньше изьянов. Это
Важная, но не везде и не для всех.
>значит что любой патч должен проходить строгий аудит, тестирование на регрессии
В общем да. Но проверка должна производиться не только при приеме патча мейнтейнером, но и при получении информации о наличии патча перед обновлением собственно админом компа.
>и иметь обоснование необходимости применения. Практика показала что этот механизм не
>сработал должным образом. Причины я вижу три:
>1. Полное отсутствие аудита как такового
>2. Халатность проверяющего (что выглядит странно, ибо их должно быть несколько, особенно
>для такого важного компонента)
Первый пункт отметаем. Второй маловероятен.
>3. Недостаточная квалификация проверяющего, который банально не понял что там сделали.
Согласен. Перед обновлением смотри что цепляет патч, если это для тебя критично - проверь самостоятельно, не полагаясь только на мейнтейнера. Не смог проверить, твоя квалификация недостаточна.
>Выберите что вам по душе.
Вам видимо не понять разницу между иметь возможность и не иметь.