URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 110879
[ Назад ]

Исходное сообщение
"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."

Отправлено opennews , 06-Апр-17 21:34 
Разработчики PVS-Studio (http://www.viva64.com/ru/pvs-studio/), коммерческого статического анализатора кода на языках C, C++ и C#, опубликовали (https://www.viva64.com/ru/b/0496/) результаты инициативы по проверке кода FreeBSD с целью выявления потенциальных уязвимостей. В итоге было найдено 56 ошибок, которые не исключено, что могут привести к проблемам с безопасностью. Проверка при помощи автоматизированного инструмента не заняла много времени, что позволило обнаружить все эти ошибки лишь за один субботний вечер.


Всего в коде выявлено 22 ошибки, которые могут привести к проблемам из-за разыменования нулевого указателя, а также ошибки вызванные некорректным использованием sizeof() с указателями, использованием неинициализированных переменных, некорректным указанием размера буфера, неверной организацией проверки индекса массива, подозрительным использованием разделителей в блоках кода, наличием неиспользуемых переменных, всегда ложными или истинными логическими выражениями, удалением компилятором кода для очистки буферов и т.п.


Для некоторых из выявленных проблем разработчиками PVS-Studio подготовлены (https://www.viva64.com/ru/b/0491/) исправления (https://www.viva64.com/ru/b/0487/), которые были переданы через систему отслеживания ошибок bugs.freebsd.org (https://bugs.freebsd.org). Так как для некоторых из ошибок проблематично подготовить исправления, не вдаваясь в суть алгоритмов и особенностей ОС, разработчикам FreeBSD предлагается провести самостоятельную более подробную проверку кода, для чего команда PVS-Studio готова предоставить ключ для полноценной проверки, а также помочь в отсеивании ложных срабатываний.

URL: https://www.viva64.com/ru/b/0496/
Новость: https://www.opennet.ru/opennews/art.shtml?num=46332


Содержание

Сообщения в этом обсуждении
"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 21:34 
Реклама, но все же они делают что то полезное, наверное

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 21:39 
Они делают что и все люди: то от чего они получают удовольствие.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 21:52 
т.е. зарабатывают деньги

p.s. я не против заработка, просто умиляют сотрудники студии, которые в каждой новости восхваляют сами себя в третьем лице


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Sw00p aka Jerom , 07-Апр-17 01:07 
а если о продукте трындели бы сами бсд.орг, тады бы побежали бы покупать сей продукт?

пс: народ и деньги делает и пользу приносит, и никто не оспорит найденные баги


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Клыкастый , 07-Апр-17 10:54 
а должны восхвалять Яхве?

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 21:39 
так ошибок 22 или 56? так и не понял.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Alex , 06-Апр-17 21:43 
Всего в коде выявлено 22 ошибки, которые могут привести к проблемам из-за разыменования нулевого указателя, а также [остальные 34] ошибки..

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено VituS , 06-Апр-17 21:43 
возможно 56, где 22 точно и написано где.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 06-Апр-17 21:51 
22 - связаны с нулевыми указателями. Просто я их считал, пока не надоело и я не переклюжчился на другие типы ошибок.

Остальные 34 про разное.

Плюс в конце ещё 10 дополнительных, которые я не знаю как классифицировать по CWE. Они в 56 не вошли, а то так вообще 66 получается.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 07-Апр-17 17:30 
Доброго времени суток, Андрей.

> 22 - связаны с нулевыми указателями. Просто я их считал, пока не надоело и я не переклюжчился на другие типы ошибок.

Т.е. ошибок, всязанных с разыменовыванием null на самом деле больше? Вам просто надоело их считать? Или же я неправильно понял?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 20:57 
> Т.е. ошибок, всязанных с разыменовыванием null на самом деле больше? Вам просто
> надоело их считать? Или же я неправильно понял?

Мне просто наскучило изучать предупреждения, относящиеся к разыменованию нулевых указателей и выписывать ошибки. Когда разработчики изучат отчёт, они смогут найти больше таких мест. Мы договорились, что мы перепроверим самый свежий код я передам им отчёт на следующей недели и они начнут его изучать.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 21:51 
Жаль что разработчики FreeBSD не могут воспользоваться утилитой, которую им рекламируют. Билдов то нет.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 21:56 
А они не разработчикам FreeBSD рекламируют, они парaитируют на опенсорсе, продвигая свою проприетарную поделку. Без огромной базы открытого исходного кода им не на чем было бы отлаживать свое пoделие, плюс используют громкие имена как рекламу

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Sw00p aka Jerom , 07-Апр-17 01:10 
> продвигая свою проприетарную поделку

а опенсурсной альтернативы есть ?

пс: и нафиг комерческий продукт не сдался ни одному опенсурс сообществу, кому нужно они купят, просто на опенсурсе они и оттачивают продукт и хорошо его рекламируют Ынтерпрайз компаниям.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 12:11 
> а опенсурсной альтернативы есть ?

https://clang-analyzer.llvm.org/
Про более примитивные штуки типа cppcheck молчу.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Sw00p aka Jerom , 07-Апр-17 18:11 
не вижу сравнения

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 21:02 
> не вижу сравнения

А что тут сравнивать. Cppcheck - игрушечный анализатор, во многом построенный на основе регулярных выражений. Регулярные выражения - это не серьезно. Моя бородатая статья на эту тему: https://www.viva64.com/ru/b/0087/

На тему Clang. Вещь конечно хорошая и полезная. Но вот только, как мы не проверим их код, так находим ошибки. Это говорит о многом. Собственно, статьи про баги внутри Clang:
https://www.viva64.com/ru/b/0108/
https://www.viva64.com/ru/b/0155/
https://www.viva64.com/ru/b/0446/


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 22:32 
> Это говорит о многом.

в основном это говорит о том, что проект все еще в "детской" стадии развития.
Шутка ли - новый gcc+binutils переписать, причем не 2.7.2.1, а сразу с современными std, в десять раз сложнее, и еще чтоб работало (one true 2.7.2 валился на примитивном плюсовом коде тех времен, и никого особо это не огорчало, времени у девелоперов были десятки лет).

Может, чем чорт не шутит, и анализатор допишут до рабочего состояния.
Я, правда, к сожалению, в это не верю.
https://svnweb.freebsd.org/base?view=revision&revision=309142
(но да, sponsored by. У них есть теперь _очень_ серьезный стимул тратить деньги и время - в виде libgcc_s, это вам не awk)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 08-Апр-17 00:16 
> в основном это говорит о том, что проект все еще в "детской"
> стадии развития.
> Шутка ли - новый gcc+binutils переписать,

Ну так и с GCC, который уже давно взрослый, всё тоже самое :)

Проверка GCC - https://www.viva64.com/ru/b/0425/

Для того и нужны специализированные инструменты, такие как PVS-Studio. Их смысл быть впереди компиляторов в плане анализа.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Sw00p aka Jerom , 08-Апр-17 01:37 
тут скорее не PVS-Studio хвалить (рекламировать как обычно думают), а хейтить GCC

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Vkni , 08-Апр-17 06:37 
По-поводу clang'а - вот этот код

https://github.com/llvm-mirror/clang/blob/d9ef432625798f824c...

заставляет сомневаться в умственных способностях разработчиков компилятора. Это C++ код, распознающий по косвенным признакам дистрибутив Linux'а, в котором запущен компилятор.

Человеку, который хотя бы немного понимает, как именно устроена экосистема Linux, очевидно, что runtime определение дистрибутива не реализуемо и не нужно.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 08-Апр-17 13:44 
> Это C++ код, распознающий по косвенным признакам

косвенным? По-моему, /etc/*ease это как раз основной признак, поддерживаемый практически всеми вменяемыми. Главное, как оракл, не делать там grep 2 && grep 4 (это они версию так определяли - к моему когдатошнему счастью, неведомый мне "turbolinux" совпал по этим грепам с текущей версией чего-тоужезабыл, неведомого ораклу, хотя совпали цифирки не в том порядке).

Если не нашли - можно смело считать, что запущены на васян-форк и подстраиваться соответственно (оракл вот говорил "поставь нормальный дистрибутив, потом поговорим").


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Vkni , 08-Апр-17 14:10 
> косвенным? По-моему, /etc/*ease это как раз основной признак

Дааа, чувствуется тяжёлое дыхание энтерпрайза. Вот по этому у вас всё так через задницу и устраивается.

Объясняю для посторонних - в Линуксах запускаемый софт должен быть запакетирован. При пакетировании maintainer 100% знает о дистрибутиве, под который собирает, не только версию, не только расположение всех нужных clang'у программ, но и груду вещей, о которых авторы clang'а в принципе не догадываются - например, механизме альтернатив.

Поэтому всё, что нужно было сделать - это попросить указать в configure или его аналоге правильное расположение тех программ, что нужны clang'у. А не городить 5-ти колёсный велосипед с автоопределением (над такими вещами ржали ещё в 90-е).


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 08-Апр-17 18:03 
> Объясняю для посторонних - в Линуксах запускаемый софт должен быть запакетирован. При

кому должен и когда этот кто-то успел в такие долги вляпаться?

> пакетировании maintainer 100% знает о дистрибутиве, под который собирает, не только

"майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает, кроме наспех прочитанных док - если есть, если вместо них не вики или вообще туманные рассуждения и отсылки в рассылку. Если тебе рассказали об ангелах с крылышками, "100% знающих о дистрибутиве", тебя жестко развели. Они и о собираемой программе чаще всего не знают нишиша. Умеет он заполнять поля Source: , Group и Version.

Доверять этим странным людям, если только за ними сзади не стоят с палкой топ-топы редхата (а это бывает только в отдельных случаях) не надо никогда и никому.

К счастью, в тривиальных случаях, за них прекрасно справляется скриптовый механизм, написанный еще во времена, когда компьютеры не помеща...не гнулись в кармане на жопе, и еще относительно руками - rpmbuild, dpkg и т д.

Ну и еще сбоку приглядывают товарищи постарше, но в основном они смотрят, чтоб он те скрипты не поотключал нахрен ради простоты достижения результата.

А нетривиальный - это вот тот самый oracle, который, собственно, тоже в пакете, но своем уникальном, предназначенном не удовлетворять копченого, писавшего (портившего) те скрипты, а для того чтобы уже установленные части не задеть, ненароком, учитывая, что там может быть уже на миллионы нефти (и знать, соответственно, ему надо не тонкости горе-дистрибутива, а тонкости своей внутренней стуктуры и взаимосвязи компонентов - получается, правда, плохо, но rpm тут точно не поможет, нет в rpmmacros оракла). И (не знаю что с 11, но вряд ли что поменялось) оно при сборке старательно линкует себя из тонны .o, что процесс непростой, не всегда удачно заканчивающийся, и очень специфичный для каждой конкретной системы (но он на ней проверен, а если не проверен, тебе нарисуют окошко, где написано, куда пойти). Какое, в ^опу, конфигуре?

Ну или для опенотсосеров и на порядок попроще - посмотрите в механику установки и запуска virtualbox, причем что совой об пень, что пнем об сову - что addons, что сервер. Да, оно запаковано в пакет, но пользы от этого совершенно никакой.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 08-Апр-17 18:56 
> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает

Зависит.

> Они и о собираемой программе чаще всего не знают нишиша.

Вот это более обычное дело, если человек не разработчик собираемой программы или не применяет её давно и плотно.

> Ну и еще сбоку приглядывают товарищи постарше, но в основном они смотрят,
> чтоб он те скрипты не поотключал нахрен ради простоты достижения результата.

Кое-где местами можно хоть понаотключаться, просто в репозиторий не пройдёт ;-)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 10-Апр-17 15:07 
>> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает
> Зависит.

тот который знает (за пределами наспех прочитанных методичек) - уже давно эффективный менеджер, у него нет времени самому собирать сложные пакеты

>> Они и о собираемой программе чаще всего не знают нишиша.
> Вот это более обычное дело, если человек не разработчик собираемой программы или не
> применяет её давно и плотно.

напоминаю, первые выдернутые из моей памяти примеры: virtualbox, oracle (представим, что оракл вдруг осенился великой благодатью и лично кому-то из ваших майнтейнеров отдал схему сборки).
Применяя то и другое давно и плотно, ты по прежнему очень плохо будешь представлять себе, как оно устроено внутри. И если с первым еще при желании (а откуда оно возьмется?) разберешься (хотя правильней для дистрибутива потратить это время на разборки с его http-интерфейсом, кластеризацией и 3d-party мордами, чтобы это все уинтегрировать правильно - пользователи оценят), то второе - полный тупик, не бывает таких людей.

с проектами уровня llvm (с которого начался разговор) - ну я вот видел один раз в _одном_ дистрибутиве майнтейнера, который понимал как работает (сборка, а не как вызывать уже кем-то собранный) gcc в деталях, но это было давно, ему наверняка давно уже  надоело.
К тому же, это его великое понимание вовсе не принесло тому дистрибутиву пяток разных gcc, переключающихся alternatives. Странно, почему?



"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 10-Апр-17 15:46 
>>> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает
>> Зависит.
> тот который знает (за пределами наспех прочитанных методичек) - уже давно
> эффективный менеджер, у него нет времени самому собирать сложные пакеты

Зависит... но народ продолжаем набирать, да.

> напоминаю, первые выдернутые из моей памяти примеры: virtualbox

У нас и его текущий майнтейнер весьма лазит внутрь, и предыдущий (который из проекта никуда не девался, но последний год или около того ударно занимается самбовыми потрохами).

> И если с первым еще при желании (а откуда оно возьмется?) разберешься (хотя правильней
> для дистрибутива потратить это время на разборки с его http-интерфейсом, кластеризацией
> и 3d-party мордами, чтобы это все уинтегрировать правильно - пользователи оценят)

А вот здесь можно и потратить время на FR вида ТЗ при желании.  В идеале бы сразу в bugzilla.altlinux.org, но можно и мне в почту.

> с проектами уровня llvm (с которого начался разговор) - ну я вот
> видел один раз в _одном_ дистрибутиве майнтейнера, который понимал как работает
> (сборка, а не как вызывать уже кем-то собранный) gcc в деталях,
> но это было давно, ему наверняка давно уже  надоело.

Не буду расхваливать, но у нас его вроде как тоже довольно неплохо понимают; при этом llvm в проекте довольно внимательно занимаются тоже два разных человека.

> К тому же, это его великое понимание вовсе не принесло тому дистрибутиву
> пяток разных gcc, переключающихся alternatives. Странно, почему?

Вспомнилось ещё одно насчёт подзабытого скилла содержания разных gcc на хосте -- у нас так: https://packages.altlinux.org/ru/search?branch=Sisyphus&quer... (от 3.3.4 до 6.3.1 почти со всеми остановками).  Даже для спеков есть обвязка в виде %set_gcc_version, если уж совсем надо.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено iZEN , 10-Апр-17 19:51 
>> с проектами уровня llvm (с которого начался разговор) - ну я вот
>> видел один раз в _одном_ дистрибутиве майнтейнера, который понимал как работает
>> (сборка, а не как вызывать уже кем-то собранный) gcc в деталях,
>> но это было давно, ему наверняка давно уже  надоело.
> Не буду расхваливать, но у нас его вроде как тоже довольно неплохо
> понимают; при этом llvm в проекте довольно внимательно занимаются тоже два
> разных человека.

LLVM сейчас - часть графической подсистемы *nix. Под него заточена инфраструктура DRM, X.org Server:

% pkg info -dr dri-13.0.6,2
dri-13.0.6,2
Depends on     :
    libxshmfence-1.2_1
    libXxf86vm-1.1.4_1
    libXvMC-1.0.10
    libXv-1.0.11,1
    libXfixes-5.0.3
    libXext-1.3.3_1,1
    libXdamage-1.1.4_3
    libX11-1.6.5,1
    expat-2.2.0_1
    libdrm-2.4.78,1
    llvm39-3.9.1_4
Required by    :
    xorg-server-1.18.4,1


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey Mitrofanov , 11-Апр-17 10:49 
> LLVM сейчас - часть
>Под него заточена инфраструктура DRM,

Тебе-то, понятно, без разницы - натачиваешь свой эпплекомпайлер, но--

> % pkg info -dr dri-13.0.6,2
> dri-13.0.6,2

"DRM" != "DRI"   //https://dri.freedesktop.org/wiki/DRM/#inwhatwaydoesthedrmsup...


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 11-Апр-17 17:17 
> Вспомнилось ещё одно насчёт подзабытого скилла содержания разных gcc на хосте

судя по названиям пакетов, скилл таки забыт, просто destdir с некоторыми не совсем приятными последствиями в виде намертво вбитых путей к libgcc/libstdc++, отличающихся от общепринятых.
> Даже для спеков есть обвязка в виде %set_gcc_version

так вот правильный скилл позволял выбирать компилятор через, сюрприз, CFLAGS!
(есть/был такой интересный ключик -V и -b еще. с последним я, правда, не подружился)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Vkni , 08-Апр-17 19:37 
> кому должен и когда этот кто-то успел в такие долги вляпаться?

Разработчики дистрибутива. В момент создания дистрибутива.

> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает

Это в RH, OpenSuse или Debian'е, сборщик потенциально БАЗОВОГО пакета? У вас какие-то дикие представления о современных Линуксах.

> Какое, в ^опу, конфигуре?

Вас понесло. Вот цЫтата из инструкций по сборке:
"
Build LLVM and Clang:

    mkdir build (in-tree build is not supported)
    cd build
    cmake -G "Unix Makefiles" ../llvm
    make
"

Т.е. при сборке clang'а используется обычный cmake. Ну он позволяет задавать внешние настройки. В частности, путь к gcc.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 10-Апр-17 15:31 
>> кому должен и когда этот кто-то успел в такие долги вляпаться?
> Разработчики дистрибутива. В момент создания дистрибутива.

это вы о ком, о миллионере Марке Эвинге (the guy in red baseball hat)? Ему уже давно похрен ваши проблемы, он вам не должен, хотя нормально на лохах денег поднял.
ЛаРош миллионером, кажется, так и не стал, и ушел куда-то в туман, вряд ли он будет вам пересобирать пакеты единственноправильным образом.
Кто там был в дебиане, не помню, за неинтересностью, но они вообще ничего не умели.

>> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает
> Это в RH, OpenSuse или Debian'е, сборщик потенциально БАЗОВОГО пакета? У вас

конечно. Кто ж на совершенно обезьянью работу будет нанимать кого-то более дорогостоящего?
И с чего, кстати, 3-d party не-gpl компилятору быть "потенциально базовым пакетом" хотя бы в отдаленной перспективе?

> какие-то дикие представления о современных Линуксах.

это у вас какие-то фантастические, что ЛаРош лично вам по сей день тщательно собирает пакетики (а он этим и в детстве-то не увлекался, у него три студента были на подхвате)

>> Какое, в ^опу, конфигуре?
> Вас понесло. Вот цЫтата из инструкций по сборке:

я предложил вам глянуть на другой софт, тоже вынужденный определять тип системы, чтобы знать, как ему устанавливаться. Вы, похоже, ни одного слова не поняли, потому что на локалхосте такого не употребляют.

> Т.е. при сборке clang'а используется обычный cmake. Ну он позволяет задавать внешние
> настройки. В частности, путь к gcc.

эти настройки для бутстрэпа в основном, не для работы.
впрочем, совершенно неизвестно, как там внутри используется полученная информация - может и никак, или запихивается в крэшдамп/дебагхедеры, чтобы потом проанализировать, кто кривее собирает, убунта или центось.

повторяю, для тугоухих: в самой процедуре определения типа дистрибутива ровно тем методом, который является признанным стандартом, ничего неправильного нет.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Vkni , 13-Апр-17 04:47 
> конечно. Кто ж на совершенно обезьянью работу будет нанимать кого-то более дорогостоящего?

Чего там нужно такого дорогостоящего в знании того, где находится gcc на платформе? Её достаточно просто использовать. Я понимаю, патчи к этому gcc писать. Что, впрочем, тоже не высшая математика.

> И с чего, кстати, 3-d party не-gpl компилятору быть "потенциально базовым пакетом" хотя бы в отдаленной перспективе?

А с чего бы и нет? Какие, собственно, препятствия? Для дистрибутива gcc ровно такой же 3-d party.

> я предложил вам глянуть на другой софт, тоже вынужденный определять тип системы, чтобы знать, как ему устанавливаться.

Ну и? Ещё один пример диковатых людей, пришедших с системы, не обладающей пакетным менеджером и репозитариями. Я же говорю, что типичный ИТшник - человек дремучий. apt-get был ещё в 1998-м, а dselect ещё раньше. Однако же многие до сих пор делают windows-style инсталляшки, тот же Wolfram с Mathematica. Ну что с них взять? Хорошо хоть без вирусов.

> Вы, похоже, ни одного слова не поняли, потому что на локалхосте такого не употребляют.

Разумеется. За полётом корпоративной мысли тяжело уследить.

> эти настройки для бутстрэпа в основном, не для работы.

Охххх.

> повторяю, для тугоухих: в самой процедуре определения типа дистрибутива ровно тем методом, который является признанным стандартом, ничего неправильного нет.

Простите, откуда вы взяли, что /etc/*-release - стандарт? Хочу вас обрадовать, но у меня в дистрибутиве в каталоге /etc есть файл redhat-release. Хотя дистрибутив совсем не RedHat. И на всяких Mandriva'х тоже этот файлик имеется. С вопросами, как этот файл появился, обращайтесь по адресу mike@altlinux.org или тут. Михаил отличную историю расскажет. Длинную и поучительную.

Стандартом определения дистрибутива является команда lsb_release. Она да, у меня работает как надо.

---------------------------
Вы, честно говоря, утомляете. Михаил, похоже, вас по какой-то причине уважает, наверно, эта причина веская. Ну ладно. Всего Вам доброго, хорошего настроения и здоровья!


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 14:26 
А свой PVS clang'ом проверять пробовали? Понимаю, что если и попробуете, результатов мы не увидим, но может быть хоть немножко самоуверенности у Вас убавится.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 08-Апр-17 17:51 
> А свой PVS clang'ом проверять пробовали? Понимаю, что если и попробуете, результатов
> мы не увидим, но может быть хоть немножко самоуверенности у Вас
> убавится.

Это уже было в Симпсонах: https://www.viva64.com/ru/b/0270/

С тех пор ежедневно выполняется анализ с помощью Clang. Но потом за всё время было найдено только 1 или 2 ошибки в новом коде.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено llolik , 07-Апр-17 16:51 
> и нафиг комерческий продукт не сдался ни одному опенсурс сообществу

И неважно, что народ активно coverity проверяется (ЕМНИП даже linux kernel). Coverity уже не коммерческий продукт? Хоть и опенсоурс дают, при определённых небольших ограничениях, проверять бесплатно.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 09:09 
Как будто это что-то плохое.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено KonstantinB , 07-Апр-17 10:53 
Ну так и пусть используют. Взаимная польза есть же.

Если вам это не нравится - вы можете заняться улучшением cppcheck. Если бы cppcheck работал хорошо, пвс-студии и прочие coverity были бы никому не нужны.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено robux , 07-Апр-17 13:04 
> они парaитируют на опенсорсе

Они парaзитируют не на опенсорсе, а на ущербном Си, где всякий изврат, типа прямого выделения/освобождения памяти и обращений по сырым указателям памяти - в порядке вещей.

Программист Си как бы бежит по сараю, забитому граблями, вилами, косами, серпами, ну и, естественно, регулярно падает, раздирая тело в кровь. А PVS-Studio, как ловец над пропастью во ржи, ловит малыша, поднимает, говорит: "ну вот, маленький, опять поранился, видишь - здесь торчала коса".


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено robux , 07-Апр-17 13:16 
> Иди на яваскрипт калькуляторы пиши!!!!!

Ты пытаешься заменить компилируемый язык интерпретируемым - это глупо. Если выбирать аналог Си, то я бы взял Паскаль.

А прототипы прикладных приложений и в самом деле лучше писать на интерпретируемых языках с динамическим выделением памяти. Потом, когда прототип уже вовсю работает, для скорострельности можно садиться и переписывать его на компилируемом языке под разные платформы с регулярной перекомпиляцией во всех популярных репозиториях.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено llolik , 07-Апр-17 14:36 
В этих ваших Паскалях настрелять себе в ногу ничуть не сложней чем в Сях, если писать что-то сложней Hello World. Так то, помимо buffer overfow/corrupt, которые "фирменные" для Си, есть, например,  memory leak/corrupt, которые и в Паскале несложно получить (а уж в дельфях тем более). Типов ошибок - вагон и тележка. От data race тебя какой язык спасёт?

> А прототипы прикладных приложений и в самом деле лучше писать на интерпретируемых языках ...

Частенько так и делают. Называется прототипирование. И чем это поможет в плане избавления от ошибок?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено анонпитонер , 07-Апр-17 18:49 
Ну ка, клоун. покажи мне как ты это сделаешь в Компонентом Паскале?

Ждёмс!)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 07-Апр-17 20:06 
Да, действительно, очень интересно! С удовольствием посмотрю на пример!

Так как, llolik, где пример?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено llolik , 07-Апр-17 21:41 
> Так как, llolik, где пример?

И ответ и пример ниже.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено llolik , 07-Апр-17 21:33 
> Ну ка, клоун. покажи мне как ты это сделаешь в Компонентом Паскале?

Ну да, не клоун, сравнить Оберон-2 (он же компонентный паскаль), который имеет свой memory manager, свой GC и вообще свою среду исполнения с полным отсутствием присутствия прямой работы с памятью, с классическим Си и классическим паскалем/делфи - это сильно. Давай ты может, его с C#, Java, Rust (хотя и немного не то) сравнишь.
Может ты не в курсе, что твой язык из себя представляет? Ведь так, не клоун?
Вопрос два, не клоун, твой Оберон-2 в многопоточность умеет? Нет? Я не в курсе. Как же он на уровне языка с проблемами синхронизации справляется. А с resourse leak, например (это НЕ memory leak, от которого GC спасёт)?

> Ждёмс!)

Чего. Примеров memory leak на классическом (!) нативном паскале/делфи? Да на здоровье

var a:^integer;
begin
    new(a);
    // что-то там делаем
    new(a); // leak 2 bytes
    // что-то дальше делаем, хоть dispose(а), но первое уже утекло.
end.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 08-Апр-17 08:58 
Очень искуственно. Именно то, что приводят во всех учебниках, как демонстрацию примера утечек памяти. И где-то рядом обязательно есть фраза, типа «указатели не нужны», что в 99% случаев есть правда.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено llolik , 08-Апр-17 10:06 
> Очень искуственно.

И тем не менее, это самый простой пример, который вспомнился на ходу.
> указатели не нужны

Да ладно. А с heap-ом как тогда работать? Какой-нибудь список или на худой конец динамический массив там. Я уж не говорю за объекты в каком-нибудь object pascal(delphi).


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 08-Апр-17 14:16 
>А с heap-ом как тогда работать?

Вот это, честно говоря, не понял. Что и зачем делать в куче, пусть там компилятор копается.

Конечно, я уже порядком подзабыл Delphi, но мнится мне, что динамические массивы автоматически освобождаются, когда выходят из области видимости.

Если же переписать Ваш пример с использованием объектов
========================
var a: TMyObj;
begin
    a = TMyObj.Create();
    // что-то там делаем
    a = TMyObj.Create(); // leak
    // что-то дальше делаем, хоть а.Free, но первое уже утекло.
end.
=========================
то он не станет менее надуманным.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено llolik , 08-Апр-17 17:59 
> Что и зачем делать в куче, пусть там компилятор копается

И тем не менее часто требуется. С первого же момента, как необходимо реализовать что-то не тривиальное или связаться с чем-то вне твоего application-а. В OP/Delphi указатели просто "засахарены" под синтаксисом: те же объекты - указатель на экземпляр класса (поэтому кстати и ваш пример тоже корректен), тот же PChar, те же TList(что-нибудь). В классическом паскале всего этого нет и всё делается ручками через те же самые указатели практически так же, как и в Си (разве что со строками меньше мороки таки да). Более того и на Delphi можно писать без рантайма, будет почти тот же классический паскаль.
> динамические массивы автоматически освобождаются, когда выходят из области видимости

В последней, что я видел нужно было их nil-ить после использования. Они всё равно реализованы через рантайм (как ссылка на хитрую структуру, где есть его длина и ref.count), может сейчас уже MM и освобождает.
> то он не станет менее надуманным

Ещё раз говорю, это самый тривиальный пример (который я тем не менее встречал даже в коммерческом софте, что уже само по себе facepalm), потому что вопрошающий отрицал даже возможность. Таких примеров можно наискать ...
Более того от ошибок синхронизации никто не застрахован.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 08-Апр-17 19:41 
> В OP/Delphi указатели просто "засахарены" под синтаксисом

Бесспорно. Именно поэтому я и сказал: «пусть там компилятор копается». ЕМНИП, непосредственно работать с указателями мне приходилось только в некоторый случаях, в основном, при наботе с win32 API (который сам по себе тот ещё ад, должен признаться).

> Более того и на Delphi можно писать без рантайма, будет почти тот же классический паскаль.

И, всёж, Delphi, не совсем Pascal. Хотя и в TurboPascal 5.5, с которого я в своё время начинал, вполне можно было «отстрелить себе ногу» (несмотря на утверждение из известной шутки, что компилятор вам этого не позволит).
Но дело-то в том, что сам Pascal и Delphi, в частности, оберегают программиста от многих глупых ошибок.
Но вот встаёт другая проблема: те, кто изначально начинал с Си, а затем, чаще всего, вынуждено перешёл на Delphi, продолжают мыслить категориями Си и лезут туда, где надо отдать дело в руки компилятора.
Да, внутри объекты, строки и варианты (TVariant, кажется, забыл уже за давностью лет) суть указатель на какую-то область памяти. Но пусть там копается компилятор, программисту туда залезать незачем.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено _ , 07-Апр-17 16:55 
>Если выбирать аналог Си, то я бы взял Паскаль.

Размах на рупь, удар - на копейку :) Впрочем чего от пасквилянтов ожидать? Ущербные by design же :-)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 07-Апр-17 20:07 
Где пруфы, Билли? На нужны пруфы?

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Минона , 07-Апр-17 17:07 
Тогда уж не Паскаль , а семейство оберонов

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено iZEN , 10-Апр-17 10:38 
> Если выбирать аналог Си, то я бы взял Паскаль.

Так Go же изобрели. Паскаль с Дельфями и FPC - прошлый век уже.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено dq0s4y71 , 07-Апр-17 17:57 
бгг, ещё один указателями умученный.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 06-Апр-17 23:15 
> Жаль что разработчики FreeBSD не могут воспользоваться утилитой, которую им рекламируют.
> Билдов то нет.

Публичного нет, а так было бы желание. :)

Мы готовы выдать лог.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 22:20 
прошлый раз они слили мусор с кучей false positive - и предложили девелоперам самим фильтровать их. Из пары сотен "ошибок" реальных багов оказалось около десятка.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено A.Stahl , 06-Апр-17 22:45 
А куда сливали-то? Тоже во freeBSD?

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Ойвейноним , 06-Апр-17 22:53 
Хоть не в даркнет, уже хорошо.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Ivan_83 , 07-Апр-17 03:30 
В багтрекере было немного с прошлого поста.
С первого хз.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено не такой , 06-Апр-17 23:20 
> Из пары сотен "ошибок" реальных багов оказалось около десятка.

Если это про FreeBSD, то их инструмент крут.

Сравните время на просмотр 200 мест в коде, где явно указана
проблема,

с отладкой 10 разных падений ядра. Да на 1 падение можно пару дней потратить,
выясняя у пользователя где и что у него упало.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 07-Апр-17 00:26 
> прошлый раз они слили мусор с кучей false positive - и предложили
> девелоперам самим фильтровать их.

Шо, даже не предупредили насчёт фильтровать?

> Из пары сотен "ошибок" реальных багов оказалось около десятка.

Ах они такие-сякие, десяток реальных багов нашли и не приползли на коленках с патчами!


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено KonstantinB , 07-Апр-17 10:50 
Если так, то ведь 10 реальных нашлось. Польза очевидна.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 18:56 
> Если так, то ведь 10 реальных нашлось. Польза очевидна.

попробуй оценить сколько времени потратят на оставшиеся 190 ? после этого польза становится не очевидной.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Старик , 07-Апр-17 20:12 
Поэтому надо 10 (а 10 ли?) реальных оставить! Подумаешь, всего-то 5% реальных багов! Всего-то в 2.5 раза больше, чем линуха на декстопе. Вот ещё, за Неуловимым Джо охотиться!!! :-D

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 23:49 
> Да на 1 падение можно пару дней потратить,
> выясняя у пользователя где и что у него упало.

пару дней? Пару лет, в лучшем случае, если пользователь гораздо раньше не плюнет, разотрет и не поставит что-нибудь другое.
У меня вот STABLE виснет на сборке самой себя в vm. Стабильненько, как и положено - без всяких паник, кернельных трейсов и чего бы то ни было, что позволило бы хотя бы примерно определить круг возможных проблем.

ну да, ну да - можно попробовать собрать ядро с дебагом, подключить виртуальный serial (хотя это вряд ли поможет), потерять пару недель (оно все это делает небыстро, а на другом железе, понятно, не воспроизведется) и, может быть, получить какой-то результат. А может и нет. Я этого делать точно не буду, не настолько заинтересован в результате. А так есть надежда, что на PR'ы кто-то обратит внимание, и мне повезет - моя проблема попала в список.

А может кто-то окажется настолько неленивый, что попросит целиком лог.

Хотя, конечно, вряд ли, это ж FreeBSD. Там и PR с готовыми нормальными патчами могут висеть по пять лет.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено P.Galloway , 07-Апр-17 12:58 
> У меня вот STABLE виснет на сборке самой себя в vm.

Именно виснет? Я сталкивался с проблемой поедания всей доступной памяти (и swap'a) после чего система превращалась в "тыкву" ;), но не "зависала" (в классическом понимании).
Hypervisor - Xen (FreeBSD 11.0-RELEASE-p8 Dom0), VM 8 cores (2,7 GHZ), 24 G RAM (память увеличивал чисто из принципа), swap 10G.
Воспроизвести легко - льём "freebsd-update-server" (https://www.freebsd.org/doc/en_US.ISO8859-1/articles/freebsd...) и запускаем билд (init.sh amd64 11.0-RELEASE).
Билд идёт в 2 прохода (buldworld, buildkernel, release в jail'e и так 2 раза). Память закончится на make release (или make install после него - ), скорее всего на создании mestick образов (в jail'e штатным методом их создать нельзя). Временно "перебил" make release на make ftp, результаты посмотрим.

> ну да, ну да - можно попробовать собрать ядро с дебагом, подключить виртуальный serial (хотя это вряд ли поможет), потерять пару недель (оно все это делает небыстро, а на другом железе, понятно, не воспроизведется) и, может быть, получить какой-то результат. А может и нет. Я этого делать точно не буду, не настолько заинтересован в результате. А так есть надежда, что на PR'ы кто-то обратит внимание, и мне повезет - моя проблема попала в список.

Ну, не стоит так "передёргивать". Хотите решить проблему - извольте потрудиться, разработчики вполне себе коммерческих продуктов, тоже как бы не телепатически узнают подробности проблем.
Гугл, мозги и понимание работы системы вам в помощь - вполне вероятно что ваша проблема уже известна и известен способ либо обхода, либо есть патчи.

> Хотя, конечно, вряд ли, это ж FreeBSD. Там и PR с готовыми нормальными патчами могут висеть по пять лет.

Тоже не совсем справедливо ("готовые нормальные патчи" если и "динамят", то лишь по причине, что некому пробежать глазами по содержимому), но согласен - косяки есть.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 13:12 
> Именно виснет?

угу, мертво.
память, пока там еще обновляется top, в избытке, скорее еще что-то течет.
Сейчас, правда, разом обновился весь llvm и приличный кусок vm* в ядре, ситуация изменилась (но и у меня слегка изменилась конфигурация, может и в этом дело)

> Ну, не стоит так "передёргивать". Хотите решить проблему - извольте потрудиться,

ну вот трудозатраты должны быть как-то адекватны результату - в данном случае мне проще забить - легких путей тут не видно, а шанс что оно само раccосется или хотя бы начнет по другому проявляться, что проще отлаживать, большой.

вероятность что подобные баги найдет стат-анализатор - небольшая, но тоже есть, поэтому подобная проверка тоже полезна (это тоже много проще чем мне собирать отладочный стенд)

> Тоже не совсем справедливо ("готовые нормальные патчи" если и "динамят", то лишь
> по причине, что некому пробежать глазами по содержимому)

именно так - народу вообще мало, многим плевать на патчи, они свои собственные хотелки пришли реализовывать, оставшиеся годами могут быть заняты другим и на твой PR не обращать внимания. Системного подхода к качеству системы у фришников, увы, нет и никогда не было.



"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Сандибридж , 08-Апр-17 10:11 
> народу вообще мало, многим плевать на патчи, они свои
> собственные хотелки пришли реализовывать, оставшиеся годами могут быть заняты другим и
> на твой PR не обращать внимания. Системного подхода к качеству системы
> у фришников, увы, нет и никогда не было.

Ну как бэ, периодически кому-то взбредает в голову вполне так "системненько" взяться за разбор завалов багов и патчей в багзилле. Крайний раз это делал Джон Марино, если я все правильно путаю. Он вообще много чего хорошего делал и по уму. Пару месяцев назад его изгнали из проекта по доносу, мол, не умеет работать в команде, всех критикует, использует менторский тон и т.д., как на ихних форумах писали.

Такие дела.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено P.Galloway , 08-Апр-17 13:11 
> Ну как бэ, периодически кому-то взбредает в голову вполне так "системненько" взяться
> за разбор завалов багов и патчей в багзилле. Крайний раз это
> делал Джон Марино, если я все правильно путаю. Он вообще много
> чего хорошего делал и по уму. Пару месяцев назад его изгнали
> из проекта по доносу, мол, не умеет работать в команде, всех
> критикует, использует менторский тон и т.д., как на ихних форумах писали.

Подкину "пруфов", т.к. ситуация имеет быть.
https://svnweb.freebsd.org/ports?view=revision&revision=433827

Драма:
https://lists.freebsd.org/pipermail/freebsd-ports/2017-Febru...
https://www.reddit.com/r/BSD/comments/5u7ezi/prominent_freeb...

"Пичалька", но такие ситуации имеют место быть, и в "обычной конторе в городе зажопинске" и в крупном сообществе.

Судя по письму Dewayne Geraghty, его вернули (там также кратко приводятся много интересных вещей - насчёт разработки базовой системы и портов, немного истории и личного опыта), но подробности я проглядел "по диагонали".


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено P.Galloway , 08-Апр-17 13:43 
> Судя по письму Dewayne Geraghty, его вернули

Не, не вернули, но в проектах DragonFlyBSD и NetBSD он, вроде как, остался.
synth его (ports-mgmt/synth) - интересная вещица, жаль если разработка заглохнет.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 08-Апр-17 19:11 
>> Судя по письму Dewayne Geraghty, его вернули
> Не, не вернули

Написать, что ли, человеку... видал уж такую "демократию".


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено P.Galloway , 08-Апр-17 12:58 
> ну вот трудозатраты должны быть как-то адекватны результату - в данном случае
> мне проще забить - легких путей тут не видно, а шанс
> что оно само раccосется или хотя бы начнет по другому проявляться,
> что проще отлаживать, большой.
> вероятность что подобные баги найдет стат-анализатор - небольшая, но тоже есть, поэтому
> подобная проверка тоже полезна (это тоже много проще чем мне собирать
> отладочный стенд)

Ну как бы в любой ОС такая ситуация, если инфы мало, дампов нет, и воспроизводимость проблемы на др./схожих HW платформах близкая к 0, хоть будет "подставьте_название_ОС/дистрибутива" - результат будет такой же как и у вас сейчас.
Если времени и сил нет на решение проблемы (попросту "не окупится"), то да - проще и разумнее попробовать 2-3 удовлетворяющих вашим условиям продукта и перейти на какой-нибудь из них.
А по существу вашей проблемы - т.к. "оно виснет наглухо", то, наверное, проблема где-то в vm/io или железе (я б посоветовал, помимо прочего, прогнать RAM каким-нибудь memtest, если возможно).

> именно так - народу вообще мало, многим плевать на патчи, они свои
> собственные хотелки пришли реализовывать, оставшиеся годами могут быть заняты другим и
> на твой PR не обращать внимания.

Как и в любом другом проекте. Пусть даже "хотелки" будет реализовывать ком.контора - она будет реализовывать то что нужно ей, а не вам. Ну совсем грубый пример Redhat "клал" на Debian и им подобные и их проблемы (Redhat и Debian можете заменить на "имя_компании - нзвание_ос_или_дистра").
Или же - академический пример - "в мире Linux" всем плевать на OpenBSD и "их счета за электроэнергию в ДЦ" тоже (более скажу, не все разработчики ПО и дистров знают о ней), но OpenSSH присутствует практически везде (да и альтернатив как то особо и нет).
Можно воскликнуть - Как же так?! Огромное сообщество, куча коммерческих компаний, тот самый "базар", который разрабатывает так как надо и не "динамит патчи" и не написал свой аналог secure shell?
Да это "флуд" и "передёргивание", но я хочу донести мысль, что мир немножко другой, чем видится в "розовых очках", проблемы есть везде, и конкретно вам в данном случае не повезло, наверное, и с железом, и с системой, но возникни похожая ситуация на другой ОС (а она вполне возможна) - ваша проблемы решалась бы точно так же и негодование было бы таким же.

> Системного подхода к качеству системы у фришников, увы, нет и никогда не было.

Я, например, считаю, что "системный подход" есть у minix, oberon и прочих, но не подскажите, часто и много ли их используют, и годятся ли они для каких-либо применений? Ну, например, web-сервер (малонагруженный - до 10000 запросов в сутки, и каналом в 1-2 мегабита, на железе "из помойки" - типа SOHO-роутера/SOHO-NAS пятилетней давности) или "тонкий клиент"/терминал и т.д и т.п.
Или же, например, я вижу "системный подход" у Apple - ОС поставляется с железом (или наоборот), и только так. Но мне этот факт, как-то безразличен. Тут и "конская цена" на железяку (в т.ч. опциональные "расширялки" и их мало) и отсутствие сервисных центров и отсутствие понимания (у меня) - что мне такого даёт продукт от Apple, что я не могу сделать в др. ОС.

Можно также голословно утверждать об отсутствии "системного подхода" в "подставьте_название_ос" - просто потому что свои проблемы есть и у них (я слабо понимаю, что такое есть мифический "системный подход" - систематизированная разработка или что-то иное?).


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 08-Апр-17 19:13 
> память, пока там еще обновляется top, в избытке, скорее еще что-то течет.

На приснопамятном lists.osdn.org.ua как-то после спешных патчей потекла sympa; выяснить это удалось при помощи collectd, который хотя бы отбрасывал статистику на соседний хост.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 06-Апр-17 23:52 
Всего 56 ошибок на такое количество кода - да разработчики FreeBSD просто святые, или эта тулза кривая.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 06-Апр-17 23:57 
> Всего 56 ошибок на такое количество кода - да разработчики FreeBSD просто
> святые, или эта тулза кривая.

"Статью не читай, комментарний пиши скорей..."

56 (вернее 66, если добавить неклассифицированные) - это то что найдено за вечер. Полный анализ займет очень много времени и я многие места просто не понимаю, есть там ошибка или нет.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Ivan_83 , 07-Апр-17 03:34 
Да да.
Вот только не нужно делать из этого сенсацию а тем более говорить про уязвимости.
Большая часть найденного это старые дрова, есть немного дров которые юзаются. Чем то чем можно воспользоваться там и близко не пахнет.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 09:58 
> Да да.
> Вот только не нужно делать из этого сенсацию а тем более говорить
> про уязвимости.

Сенсации никакой конечно нет. Мы и раньше регулярно находили большое количество ошибок в различных проектах. Другое дело, что мы ранее не акцентировали внимание на борьбе с уязвимостями. Я не говорю, что мы нашли хотя бы одну настоящую уязвимость. Но борьба с уязвимостями как раз и состоит чтобы их предупреждать, исправляя ошибки, которые классифицируются согласно CWE.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено _ , 07-Апр-17 18:27 
Вообще то метрики качества в терминах ошибк/на тыЩЩи строк кода публиковались не раз и не два. Фряха там выглядела вполне себе хорошо. Так что к чему ты клонишь - я лично не понял %-)

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено P.Galloway , 08-Апр-17 13:27 
> Сенсации никакой конечно нет. Мы и раньше регулярно находили большое количество ошибок
> в различных проектах. Другое дело, что мы ранее не акцентировали внимание
> на борьбе с уязвимостями. Я не говорю, что мы нашли хотя
> бы одну настоящую уязвимость. Но борьба с уязвимостями как раз и
> состоит чтобы их предупреждать, исправляя ошибки, которые классифицируются согласно CWE.

А можно ли оставить "реквест" на проверку OpenSSH ну или базовой системы FreeBSD (portable OpenSSH там присутствует)?
Естественно, по наличию сил, времени и желания.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 08-Апр-17 17:52 
> А можно ли оставить "реквест" на проверку OpenSSH ну или базовой системы
> FreeBSD (portable OpenSSH там присутствует)?
> Естественно, по наличию сил, времени и желания.

Offer an interesting project for PVS-Studio analysis: https://github.com/viva64/pvs-studio-check-list


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Анонимович , 07-Апр-17 05:14 
Такс... Тулза конечно полезная  НО! Что у нас получается в итоге ? Софт пишем наверняка на опенсорснй IDE(и уж точне не на MSVS) в опенсорсной же оси(не на винде же), испытания проводят на  опенсорсном же коде,  баги ловять на нем же,  А  программа в итоге  проприетарная.
Круто чО я тоже так хочу.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 05:18 
И стоит эта хрень далеко не символические 1$

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 05:49 
цитата с сайта. "Это значит, что статический анализатор на самом деле был не нужен всем этим людям, а свои рекомендации они оставляли просто так. Вообще, уже давно подмечена следующая тенденция."
Толи дЕбилы толи дятлы в этом PVS.  Если из десяти прогеров дешовую поДделку(CppCat) купили только 2чела это  далеко незначит что оставшимся восьми совсем ненужен нанализатор кода. Это всего лишь значит что  они смогли обойтись и без него. Любой программист  пишет он  файловый менеджер или медиаплейер или еще какую-то программу, хочет чтобы его программа работала  как можно лучше чтоб его код был  как можно более чист от ошибок  даже самых незначительных!
Я написал и поддерживаю программу  которой пользуются   абоненты моей сети. она бесплатная за  то что я  ее  сделал  и дал людям я получил только премию, начальство оценило и юзеры довольны функционалом.  Но  мне было бы интересно  прогнать ее  ч такой анализатор кода и выявить вс есвои косяки которые  полюбому вне й есть. Но это лишь мое желание. Начальство за  эту PVS не будет платить никаких денег.  Программа работает ?  работает.  Ну и пусть работает и не трогай. все. Им проще удалить  программу и все ибо она не есть необходимость.Это просто всего лишь  удобная тулза/ примочка/фишка которую придумал я.
И подобных  примеров уйма!!!
Имхо. Будь программа свободной(хотябы) многие и многие програмисты бы пофиксили 99% багов в своих программах с помощью этой PVS
IdiOt же в PVS...

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 11:24 
А вот если бы кто бесплатно мне умывальники пробивал, то это было бы еще круче.

Я не понимаю в чем проблема? Не нравится - не пользуйся! Или свербит от того, что открытой альтернативы все еще нет (ибо для ее создания, очевидно, надо приложить больше мозгов чем слепить из готовых компонентов чятик или звонилку), а ребята вполне успешно работают?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 12:11 
> Я не понимаю в чем проблема? Не нравится - не пользуйся!

нравится. хотим того же, но на халяву. Даже довольно номинального реверанса в сторону разработчиков, при которых доступно именно на халяву - не хотим, не по понятиям нам оно.

> свербит от того, что открытой альтернативы все еще нет

им не нужна открытая - все равно изменить в ней что-то не в стиле болгенос никто из опендрочеров не осилит, это ж мозги нужны, а не только дофига свободного времени и желания.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено ram_scan , 07-Апр-17 15:08 
> нравится. хотим того же, но на халяву.

Нахаляву можно взять отладочные и реверсные тулзы и исследовать проявления жадности столь необходимого инструмента. Никому об этом не рассказывать.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 17:45 
> Нахаляву можно взять отладочные и реверсные тулзы

достаточно sed'а и find. Но без поддержки у тебя вряд ли получится даже настроить на нетиповую задачу, не говоря уже о разобраться в выдаче.

Или это займет столько времени, что тебе придется таки идти на работу, потому что мама с папой вечно кормить не будут.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 16:22 
Если бы в свое время товарищи давшие старт GPL  думали так же как ты и тебе подобные индивидуумы не было бы опеннета ибо небыло бы  вообще   такого понятия как свободный софт   и открытые исходники, и не сидел быты сейчас  на   линуксе и не кукарекал тут.  Что ?  ты на венде сидишь ? Свали с опеннета защитник проприетари.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 17:57 
> Если бы в свое время товарищи давшие старт GPL  думали так

"товарищи", давшие старт GPL, за пятнадцать или более лет работы произвели из существенного только gnu emacs. Эталонное ненужно.

Еще, правда, они произвели мертворожденную систему gnu hurd (на базе, заметим, mach, которую писали в CMU без всяких там коммуняк. Пять лет писали, пятнадцать дописывали уже под гну-лейблом, так и не взлетело. Замечу, что ядро l4 и компанию написало в то же примерно время (то есть с тогдашним пониманием как это делают), с чистого листа, два хакера за полтора года - просто они умели кое-что кроме прокламаций).

> же как ты и тебе подобные индивидуумы не было бы опеннета

был бы на *bsd.
Да, какое-то время все висело на волоске - когда оказалось, что код 2.x использовать нельзя из-за угрозы судебных тяжб, а 4.lite не операционная система, а сплошные пустые места из-за удаленного подозрительного кода.
В этот момент очень удачно влез Линус со своей альтернативой, которая на тот момент была буквально всем хуже, но не имела лицензионных проблем, перетянув весьма ограниченный контингент хороших разработчиков - их в мире вообще мало, на два проекта не хватило.

А вот глупых фанатиков, в жизни не написавших ничего ценного ни под какой лицензией, действительно было бы поменьше.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 13:25 
Чем писать такую длинную телегу, куда продуктивнее было бы вбить в поисковик "static analyzer" и обнаружить кучу бесплатных и даже свободных аналогов. Пусть какие-то из них хуже, но и PVS не идеален и думать за программиста не умеет, а прогон нескольких наиболее популярных свободных анализаторов найдёт всяко не меньше ошибок, чем прогон одного проприетарного. Заодно станет понятно, как оно работает, для чего предназначено, и почему не является панацеей от криворукости.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 14:12 
> Чем писать такую длинную телегу, куда продуктивнее было бы вбить в поисковик
> "static analyzer" и обнаружить кучу бесплатных и даже свободных аналогов.

"если б еще и работали..."
> Пусть какие-то из них хуже

к сожалению, не какие-то, а все, и хуже - в разы.

> , но и PVS не идеален и думать за программиста не умеет,

досюда правильно

> а прогон нескольких наиболее популярных свободных анализаторов
> найдёт всяко не меньше ошибок, чем прогон одного проприетарного.

а это бред. потому что прогон анализатора производит только лог.
ошибки ищут люди, вы же сами это только что написали.

Ну так вот тот факт, что после рекламных запусков pvs на любом опенхалявном софте находятся пачки ошибок (необязательно опасных, но явно ошибок - типа копипасты условий в ифе, перепутанного set/return и т д) говорит ровно об одном - без него эти ошибки остались бы ненайдеными - не смотря на наличие тонны опернсорсных якобы-конкурентов, и не смотря на то, что для верификации опенсорсного проекта не надо быть его автором (а для верификации именно pvs не надо денег платить - на раз тебе и так дадут лицензию).

Потому что таки да - их ищут люди, а люди не любят использовать неудобные и неполноценные инструменты, плюс еще и просто не обладают нужной степенью натренированности чтобы правильно сконфигурировать инструмент и _быстро_ прошерстить результат, сразу же выцепив нужное из сотни фальс-алармов.

А у разработчиков pvs есть и инструмент, и умение им пользоваться.

> понятно, как оно работает, для чего предназначено, и почему не является
> панацеей от криворукости.

то что вы называете криворукостью (а на деле просто обычная разработка) - уже случилось и результат уже в коде. То что нахождение некоторых проблем в нем это не панацея, вовсе не означает, что искать не нужно.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 14:49 
Периодически прогоняю scan-build по каким-нибудь опенсорсным проектам, и он почти всегда находит пачку ошибок (единственное встретившееся исключение — i2pd, где не было даже ни одного фолса — видимо разработчик тоже им пользуется). Беда в том, что наличие качественного свободного инструмента не означает автоматически, что все его используют.
Статический анализ ещё не вошёл в моду, как всякие CI, поэтому искать им ошибки в открытых проектах — нефиг делать. Чем и пользуются разрабы PVS для пиара.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 18:05 
> Периодически прогоняю scan-build по каким-нибудь опенсорсным проектам, и он почти всегда
> находит пачку ошибок

и где твои PR ?

> в том, что наличие качественного свободного инструмента не означает автоматически, что
> все его используют.

всем совершенно необязательно - достаточно одного, только он еще и уметь должен.
(и потратить много времени на анализ нагенеренного в любом случае)

> Статический анализ ещё не вошёл в моду, как всякие CI, поэтому искать

громкие вопли "мы прогнали ведро линуха через анализатор и даже что-то по результатам исправили" я где-то в районе то ли опеннета, то ли нынепокойных англоязычных аналогов помню еще десятилетней давности.

> им ошибки в открытых проектах — нефиг делать. Чем и пользуются
> разрабы PVS для пиара.

тебе кто мешает себя, любимого (и попутно любимый опенсорс), попиарить подобным образом? "Йа нашел (и добился исправления, а не висячий PR оставил, учитесь, PVS'ы!) энцать багов - на эм больше чем ваша поделка, и не в ненужных драйверах, а в ключевых местах системы, вам есть еще куда расти!" - по-моему, неплохая реклама открытому коду, да и строчка в резюме небесполезная. И где? Злые модераторы не пропустили, велели заплатить больше, чем PVS?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 19:15 
А зачем мне пиариться? Что нашлось — то нашёл, что посчитал нужным — зарепортил.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 21:00 
> А зачем мне пиариться?

как зачем? Перечитай последний абзац. А зачем еще ты всю ту муть сюда понаписал? Чтобы люди знали, что есть такой нужный и полезный софт, совершенно на х...бесп...э...неважно, есть он, короче, в общем весь вот такой, и вот вам доказательство, что pvs всем хуже и ненужно (хорошо бы еще с количеством времени, затраченным на разбор).

Просто в этом случае у тебя были бы аргументы. (ну и на закусочку "И вот кстати, йа, весь такой в белом, как раз ищу работу в хорошей опенсорсной компании" тоже вполне может оказаться нелишне.)

Или, "что посчитал нужным - зарепортил" надо читать как "а что посчитал полезным - оставил себе в эксплойтбазу"? ;-) Тогда, конечно, добро пожаловать к нам, на темную сторону Силы.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 14:32 
Меня не интересует работа в компании, в которую принимают по результатам специальной олимпиады на опеннете. И эксплойтобаз не собираю.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 16:06 
Все правильно. Нужность != необходимость ==> Не необходимость != не нужность.(вроде все  правльно написал :D Т.е.  Видимо в PVS Действительно люди не далекого ума ибо  путают  понятия Нужность и необходимость.
  по поводу  скрытого прейскуранта цен это ваще жесть.  очевидно же что эти "люди"( именно в кавычках) пытаются содрать  как можно больше  бабла с каждого желающего - Будь то мегакорпорация на 100500 чел  или маленькая компашка на 1,5 человека. По моему это типичные  русские (или не русские ?) жирножопы кои до поры, до времени хотят бабла срубить и свернуть свою лавченку.
--- до поры, до времени ? - это к тому, что  помоему  у них там с лицензиями не все чисто.  если они на самом деле делают свой "продукт" пользуясь свободным кодом/софтом(обобщенно)  то сдается мне  что они что-то да нарушили.  А если еще запросить у них сырцы и проверить на  использование в программе LGPL и прочих элементов ?
Имхо либо ты сидишь на  вендах с MSVS и пишешь свою проприетарщину исключительно с помощю  проприетарного кода, или ты сидишь на линуксах  и тогда "будь добр бобр" и распространяй свою программу свободно и  исходники  как минимум по требованию "клиента".
а то  збс так умудрились "и рыбку сьессть и наКуй сесть"
В мире  есть докуямного способов окупить свою "поделку" и приэтом  будут довльны все.  но они выбрали именно этот способ... Не спроста это все.
За жопу их нужно взять да только не кому.  А может уже и брали да  откупились НЕдаром же такая муть с ценником. поди в ценнике весьма круглые суммы  позволяющие заткнуть рот недовльным.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 16:36 
> Все правильно. Нужность != необходимость ==> Не необходимость != не нужность.(вроде все
>  правльно написал :D Т.е.  Видимо в PVS Действительно люди
> не далекого ума ибо  путают  понятия Нужность и необходимость.

+
Мне  может быть Ооочень нужен какой-то  определенный софт( пусть даже также PVS) Но! Это нфига не занчит она мне ппц как необходимачтобы выложить за нее   кучу бабла. Причем тут дело стоит так что я захотел эту программу и  мне выдали ценник в  2 кк  рублей потому  что я " ппц большая организация  разрабатывающая большое количесвто разного  нужного полезного софта". а  сосед мой    получил ее  за   2 к рублей потмоу что он один и даже неорганизация.
WTF ????  


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 21:20 
Как использовать PVS-Studio бесплатно - https://www.viva64.com/ru/b/0457/

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 05:37 
Вообще-то этой тулзой и бесплатно проверять можно добавив в начало каждого файла в коде комментарии, что добавляется парой строчек
50 якобы ошибок во всем коде FreeBSD - это практически идеальный продукт. Сейчас разрабы их исправят и будет система в принципе без дыр, в отличие от поделий которые дальше ставятся из портов

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 12:19 
> Сейчас разрабы их исправят и будет система в принципе без дыр

Вы таки верите, что это чудо-п0делие нашло все без исключения ошибки? Если б оно так умело, его не имело бы смысла так дёшево пиарить.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено лютый жабист__ , 07-Апр-17 05:43 
А ГНУ/линукс проверяли?

Вообще, по собственному опыту, данная прожка не видит утечку (в виде забытого free) в простейшей сипипишной процедурке на полэкрана. С другой стороны, если хоть что-то видит, это хорошо. Ещё б бесплатным было 8)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 10:05 
> А ГНУ/линукс проверяли?

Обновляемый список статей, в которых мы рассказываем об ошибках, найденных с помощью PVS-Studio в открытых проектах: https://www.viva64.com/ru/inspections/

> Вообще, по собственному опыту, данная прожка не видит утечку (в виде забытого
> free) в простейшей сипипишной процедурке на полэкрана. С другой стороны, если
> хоть что-то видит, это хорошо. Ещё б бесплатным было 8)

Ищем утечки слабо, как и любой статический анализатор кода. Не могут они это делать хорошо. Это сфера динамических анализаторов. Зато могут искать много другого, что не могут искать динамические анализаторы.

Кстати, анализатор очень быстро развивается. Предлагаю попробовать свежую версию.
    



"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 12:22 
> Ищем утечки слабо, как и любой статический анализатор кода.

Вот когда в следующий раз надумаете тут пиариться, будьте любезны выкладывать результаты прогона других анализаторов по тому же коду. Хотя бы scan-build и cppcheck. А на слово вам верить дураков нет.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 14:20 
> Вот когда в следующий раз надумаете тут пиариться, будьте любезны выкладывать
> результаты прогона других анализаторов по тому же коду. Хотя бы scan-build и
> cppcheck. А на слово вам верить дураков нет.

неверующий дурак так и отается дураком.

Тебе ничто не мешает прогнать другой анализатор по тому же коду (ну кроме того, что ты им ни пользоваться не умеешь, ни быстро приспособить его к специфической билд-системе не сможешь, ни быстро наковырять те же 60 ошибок из массы предупреждений, чтобы гордо наляпать тут "смотрите, какое этот pvs фуфло, я халя...опенсо...нет, все же бесплатной программой вдвое больше наковырял за то же время").

Что характерно, разработчикам тоже, и они, в отличие от тебя, даже более-менее в результате заинтересованы. Почему этого не делают - умный сам догадается, а на дурака что время терять...


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено кверти , 07-Апр-17 15:00 
>неверующий дурак так и отается дураком

я так понимаю, что ты и тебе подобного мнения это верующие дураки?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 07-Апр-17 16:05 
>> неверующий дурак так и отается дураком
> я так понимаю, что ты и тебе подобного мнения это верующие дураки?

Это один из тех, у кого и я в девяностых учился *nix, если что.  В #58 субъективно всё сказано по существу.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено кверти , 07-Апр-17 16:23 
>Это один из тех, у кого и я в девяностых учился *nix, если что

Что это дает? Типа авторитет и его мнение однозначно верное?
>В #58 субъективно всё сказано по существу.

Ключевое слово - субъективно. Я с #58 не согласен в корне.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 07-Апр-17 17:39 
>>Это один из тех, у кого и я в девяностых учился *nix, если что
> Что это дает? Типа авторитет и его мнение однозначно верное?

Типа совет перечитать внимательней.

>>В #58 субъективно всё сказано по существу.
> Ключевое слово - субъективно. Я с #58 не согласен в корне.

cosa vostra :)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено кверти , 07-Апр-17 17:51 
>Типа совет перечитать внимательней

Миша, зачем мне перечитывать твоего "учителя", если Я его мнение не разделяю?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 07-Апр-17 18:15 
>>Типа совет перечитать внимательней
> Миша, зачем

Можно прочесть невнимательно и понять неправильно, речь о таком.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено кверти , 07-Апр-17 18:19 
Можно, но не тот случай. Я предельно четко понимаю, по какую "сторону" этот человек

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 22:37 
> Можно, но не тот случай. Я предельно четко понимаю, по какую "сторону"
> этот человек

и это вам важнее любых аргументов. Оно и видно.

P.S. да, я давно на темной стороне силы. Здесь печеньки.
P.P.S. Миша, не пали контору (я вообще случайно забыл удалить примелькавшийся ник), я и так слишком явно расписался.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 08-Апр-17 19:20 
> P.S. да, я давно на темной стороне силы. Здесь печеньки.

Эх :-)

> P.P.S. Миша, не пали контору (я вообще случайно забыл удалить примелькавшийся ник),
> я и так слишком явно расписался.

Думаю, помнящие те деньки и так могут узнать по почерку (хотя он тоже с годами меняется), но у меня всяко нет обычая палить контору -- только контру.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено кверти , 08-Апр-17 19:54 
>и это вам важнее любых аргументов

Во-первых, здесь нет никаких аргументов, здесь только мотивы поведения. Во-вторых, ваша позиция, как и Миши, сводится к личному знакомству с автором/авторами этой поделки, отсюда и все ваши так называемые "аргументы".


>P.S. да, я давно на темной стороне силы. Здесь печеньки.

Мне пофиг. Каждый выбирает свой чан с дерьмом.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 08-Апр-17 20:12 
> ваша позиция, как и Миши, сводится к личному знакомству

Эх, и когда эти буйные головы научатся хотя бы читать, не то что прочитанное понимать...

Приведите, пожалуйста, цитату.

(хотя познакомиться было бы интересно, нынче это должно быть попроще, чем тогда)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено кверти , 09-Апр-17 01:28 
>Приведите, пожалуйста, цитату.

Цитату чего?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 09-Апр-17 20:01 
> Цитату чего?

Моей позиции в моём изложении, которую можно понять так, как Вы изложили.

Хотя просьба риторическая, конечно -- моя-то позиция не в "руку жал, значит, гигант мысли", а в том, что по опыту общения (включая и сбывшиеся или нет прогнозы) человек и его слова могут вызывать больше доверия или меньше, притом вне зависимости от того, насколько они "комфортны".  То, что обычно не формулирую в явном виде, но что есть -- это обычно больший "потолок" доверия человеку, которго знаю лично: как в силу того, что лично знакомиться предпочитаю не на пустом месте, а на фундаменте уже сложившегося доверия, так и в силу того, что глаза являются довольно мощным невербальным каналом именно в этой части (да, действительно "зеркало души" для меня).

PS: прошу прощения за офтопик -- вообще предлагаю после выяснения позициев обсуждение почистить малость.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 15:03 
> неверующий дурак так и отается дураком.

Нет, дураком всегда был и останется навеки тот, кто верит всем подряд. А я привык, знаете ли, к научному подходу. Если в эксперименте отсутствует контроль — цена его нулевая.

> Тебе ничто не мешает прогнать другой анализатор по тому же коду (ну
> кроме того, что ты им ни пользоваться не умеешь, ни быстро
> приспособить его к специфической билд-системе не сможешь, ни быстро наковырять те
> же 60 ошибок из массы предупреждений, чтобы гордо наляпать тут "смотрите,
> какое этот pvs фуфло, я халя...опенсо...нет, все же бесплатной программой вдвое
> больше наковырял за то же время").

Мне мешает прогнать по тому же коду другой анализатор отсутствие информации о том, что это был за код. Откуда он взят, какой версии, какие конкретно файлы проверялись — об этом почему-то умолчали. Полного лога тоже не выложили — и как прикажете сравнивать?

И я не утверждаю, что PVS — фуфло. Я этого не знаю. Здесь не приведено информации, на основании которой можно было бы однозначно заключить, что он _не_ фуфло, вот о чём я писал.

> Что характерно, разработчикам тоже, и они, в отличие от тебя, даже более-менее
> в результате заинтересованы. Почему этого не делают - умный сам догадается,
> а на дурака что время терять...

Я дурак, видимо, но всё же таки попробую погадать. Они 1) не хотят вообще упоминать лишний раз о конкурентах, чтобы тем самым не рекламировать их и/или 2) боятся бледно выглядеть на их фоне.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 18:18 
> Мне мешает прогнать по тому же коду другой анализатор отсутствие информации о
> том, что это был за код. Откуда он взят, какой версии,

ну, так спроси - я полагаю, последний iso стянули, они обычно не парятся (потому что таки да, реклама, а не горячее желание осчастливить мир).

> какие конкретно файлы проверялись — об этом почему-то умолчали. Полного лога

оно обычно в cpp влазит, то есть проверялось, очевидно, все то,что затронул buildkernel (не world,учтите кто действительно полезет сравнивать!)

> тоже не выложили — и как прикажете сравнивать?

попросить лог же ж? Это бесплатно.

> Здесь не приведено информации, на основании которой можно было бы однозначно
> заключить, что он _не_ фуфло, вот о чём я писал.

баги находит - значит, не совсем. Но да, без своего автора и активного продвигателя не работает (за денежку, или даже за рекламный интерес такого же характера, думаю, тебе
его участие тоже вполне доступно, но если хочется сравнивать, то, очевидно, Карпова надо заменять собой, бесплатным ;-)

>> Что характерно, разработчикам тоже, и они, в отличие от тебя, даже более-менее
>> в результате заинтересованы. Почему этого не делают - умный сам догадается,
> Я дурак, видимо, но всё же таки попробую погадать. Они 1) не
> хотят вообще упоминать лишний раз о конкурентах, чтобы тем самым не

э.. я о разработчиках бес...откр...э...все же проектов с открытым кодом, на которых тренируются авторы PVS'а.

Что им мешает сделать то же самое с помощью откры...бесплат...ой, не знаю - софта хотя бы разово? (это всяко лучше, чем ни разу вообще)

Ну или хоть тем, кто непрочь порекламировать лишний раз открытый софт - есть тут такие? ;-)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 19:23 
> если хочется сравнивать, то, очевидно, Карпова
> надо заменять собой, бесплатным ;-)

А если я потенциальный клиент? Имею я право увидеть объективное сравнение с конкурирующими продуктами прежде чем с денюжкой расставаться?


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 21:27 
> А если я потенциальный клиент? Имею я право увидеть объективное сравнение с
> конкурирующими продуктами прежде чем с денюжкой расставаться?

Мы пришли к заключению, что как бы не делали сравнения, нас всегда обвинят в предвзятости. А соответственно и нечего мучиться, раз все равно "лож и провокация" :).

Объективно может сравнить только третья сторона, да только где её взять. Если мы дадим кому-то денег, уже всегда можно сказать, что третья сторона была необъективен.

Поэтому сейчас мы отвечаем на подобно так. Возьмите наш продукт и продукт конкурента. Проведите анализ, сравните. И потом примите решение, кто больше нравится.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 15:18 
> Поэтому сейчас мы отвечаем на подобно так. Возьмите наш продукт и продукт
> конкурента. Проведите анализ, сравните. И потом примите решение, кто больше нравится.

Ну ок, только ввиду отсутствия у меня свободного времени и желания геморрроиться с получением триального ключа скорее всего контора, где я работаю, так и останется клиентом сугубо потенциальным. Разве что коллеги из других отделов подсуетятся, но это сомнительно.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 08-Апр-17 17:54 
> Ну ок, только ввиду отсутствия у меня свободного времени и желания геморрроиться
> с получением триального ключа скорее всего контора, где я работаю, так
> и останется клиентом сугубо потенциальным.

Здесь будет уместно процетировать фрагмент из статьи "Отказались от демо и фримиума — и отсеяли кучу шлака" https://roem.ru/25-07-2014/109922/otkazalis-ot-demo-i-frimiu.../

Этот пример отлично иллюстрирует два типа потенциальных клиентов:

- Представитель ЦА, который гипотетически воспользовался бы вашим предложением, если бы ему за это доплатили,

- Настоящий потенциальный клиент, которому ваш инструмент действительно принесёт пользу.

В случае с бизнес-сервисами, первый тип — это человек с сомнительным вялотекущим дельцем, у которого нет бурной деятельности и, как следствие, тех проблем, которые вы можете для него решить. Второй же действительно делает бизнес и понимает, что борьба с рутиной обходится ему дороже той суммы, которую вы озвучиваете. Перенесите это на свою сферу и прекратите попытки угодить персонажу номер 1.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 21:26 
Ну что я могу сказать, удачи вам на поприще борьбы со шлаком.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 21:44 
Впрочем, таки  поясню на всякий случай. Я технарь. Я могу сказать начальству, что мне нужен инструмент, и оно его купит без вопросов, а я даже не узнаю, сколько за него заплатили, и уж подавно не буду тратить нервы на общение с продажниками. В вашем случае чтобы понять, нужен ли действительно инструмент, мне таки придётся заниматься не своим делом, вникая во всякие там условия триального использования и общаясь с вашим маркетингом. Если б необходимость была очень острой, или у меня не было кучи более важных задач, может, я бы этим и занялся, но в данный момент ситуация несколько иная. И я склонен полагать, что так обстоит во многих крупных конторах. Так что с цитатой из статьи про то, как рубить бабло с ИП, Вы несколько промахнулись.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 08-Апр-17 22:28 
> Впрочем, таки  поясню на всякий случай. Я технарь.

Не верю.

> Если б необходимость была очень острой, или у меня не было кучи более важных задач

Вот и [...] запилили этсамое сравнение с тем же Coverity своими руками.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 09-Апр-17 19:09 
> Так что с цитатой из статьи про то, как рубить бабло с
> ИП, Вы несколько промахнулись.

Да какая разница. Коллектив или чувствует необходимость контролировать качество кода и смотрим по сторонам, изучая различные инструменты, которые могут помочь. Или не чувствует, и тогда тут никак не продашь, хоть какие демонстрации делай или сравнения с конкурентами.

Вы начали с "отсутствия у меня свободного времени и желания геморрроиться с получением триального ключа". Логично предположить, что оно Вам и не надо и получение ключа выступило своего рода фильтром. И возможно это хорошо. Потому, что если даже это уже препятствие, то до ежедневного внедрения анализатора Вы всё равно не доберетесь. Ибо процесс покупки, настройки, правки ошибок, интеграция с системой сборки и так далее в любом случае на порядок превышает затраты в сравнении с получением пробного ключа. Так что я собственно не понимаю вашу позицию и чего Вы хотите.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 09-Апр-17 23:21 
Ещё раз: я технарь, что бы там по этому поводу не думал местный хам-модератор. Внедрять, настраивать и всё такое прочее — моя работа, бывает, я получаю от неё удовольствие. Общаться с продажниками — не моя работа, от этого меня воротит.
Дурацкая модель продаж выступила своего рода фильтром. И, возможно, это хорошо. Потому что если уже здесь продавец строит препятствия, страшно представить, что могло бы быть дальше.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 09-Апр-17 23:29 
> Дурацкая модель продаж выступила своего рода фильтром. И, возможно, это хорошо. Потому
> что если уже здесь продавец строит препятствия, страшно представить, что могло
> бы быть дальше.

Вы уже потратили сил на дискуссию здесь больше, чем требовалось для получения ключа. Более того, что если говорить не про Linux, а про Windows, то там вообще ключ не нужен: скачал и пробуешь.



"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Led , 10-Апр-17 10:08 
О, да пацан тут не просто рекламу проплатил - он здесь место "застолбил"!

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Michael Shigorin , 07-Апр-17 22:15 
> А если я потенциальный клиент?

Уже смешно.  Потенциальный клиент бы не с козырей фекального типа заходил, а провёл или заказал это самое сравнение.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено пох , 07-Апр-17 22:56 
> А если я потенциальный клиент? Имею я право увидеть объективное сравнение с
> конкурирующими продуктами прежде чем с денюжкой расставаться?

"поверила - ООО МММ?!"
Я эти объективные сравнения писал...э...читал с выражениями. Те выражения, которые заказчику слышать не полагалось, произносились за дверью, много и смачно (при том что мы впаривали хороший продукт - по моим личным оценкам), особенно наедине с другими писателечитателями. Ты в это правда хочешь верить, а не сонно моргнуть и попросить перейти к демонстрации?

Потенциальный клиент берет демо-ключ и пытается всунуть ЭТО в свою билд-фабрику, потому что, вообще говоря, для него во многом важнее, насколько это удастся с той билд-фабрикой сопрячь, чем насколько оно идеально находит баги - если идеальную багоискалку надо каждый раз запускать в полночь на Ивана Купалу, обсыпав вокруг лепестками расцветшего папоротника (честно-то говоря, версию которая тестила линукс кернел по описанию именно так, а bsd, скорее всего, еще хуже), или просто ради нее переделывать всю сборочную систему на совместимую с - скорее всего, будет выбрана неидеальная, но которую проще впихнуть в проект.
А уж потом, из этих неидеальных, понавыберут что получш...что выиграет тендер, гуляем-то не на свои ;-)

Ну а если ты уникум-меценат, гуляющий на свои в сложном проекте (Дуров, залогиньтесь!) - то опять же ты просто на нем и будешь сравнивать - включая не только что в принципе может система, но и что именно твои девелоперы с ней в руках смогут, а это может сильно отличаться от среднего по больнице.

А все эти анализы опенсорся - это чистой воды реклама для привлечения внимания, чтобы вообще о проекте вспомнили, когда будут выбирать тулзу. (ну и опять же, в игру "йа весь в белом" можно играть в две стороны - "мы каждый день помогаем исправлять ошибки в куче популярных проектов" - тоже неплохая строчка для ответа на тендерный запрос)

Опенсорсу от этого вполне очевидная польза, и совершенно неважно, сколько своего времени Карпов потратил в процессе и можно ли было обойтись деше...бесплатным инструментарием и получить результат проще, раз этого никто не сделал ;-) Ну кто вот хочет копаться в древнем даже не pci драйвере? А исправить в нем ошибку все ж таки надо, раз мы его не задепрекейтили по сей день.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Vkni , 09-Апр-17 03:55 
> Ты в это правда хочешь верить, а не сонно моргнуть и попросить перейти к демонстрации?

Дык. Это надо быть умственно неполноценным, чтобы верить в "сравнения с конкурентами".

> А все эти анализы опенсорся - это чистой воды реклама для привлечения внимания, чтобы вообще о проекте вспомнили, когда будут выбирать тулзу.

Не, там много целей:

1. Реклама среди потенциальных пользователей (не покупателей).

2. Обучение контингента на примере.

3. Доптестирование продукта.

4. Повод для открытой беседы и обсуждения за-против, обсуждения недостатков для исправления на следующей итерации.


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 16:52 
Хоть и реклама, но это действительно полезная реклама, вся бы реклама была такой как у PVS-Studio.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Гость , 07-Апр-17 17:05 
В чем польза от этой рекламы? Лучше поинтересуйтесь у них - почему они свою же программу не проверяли? Настолько уверены в квалификации программистов? Или просто не хотят обнародовать результаты?
К данному топику не относится, но может вам реклама и в "винде" нужна?

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 07-Апр-17 17:16 
> В чем польза от этой рекламы? Лучше поинтересуйтесь у них - почему
> они свою же программу не проверяли? Настолько уверены в квалификации программистов?
> Или просто не хотят обнародовать результаты?

https://habrahabr.ru/company/pvs-studio/blog/279437/



"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 07:39 
В коментариях выливают тонны грязи на компанию, инженеры которой разработали продукт и продают его. БЕСПЛАТНО собственными силами провели анализ опенсорс проекта. Пусть и в рекламных целях. Главное они внесли вклад в развитие опенсорса, чем  повысили лояльность к ним вменяемых людей из сообщества.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 07-Апр-17 17:53 
Это все хорошо, а было ли хоть, что отправленное?

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 08-Апр-17 00:23 
> Это все хорошо, а было ли хоть, что отправленное?

Не понял вопрос. Вы о чём? Если о патчах, то совсем чуть чуть, так как времени мало:

https://www.viva64.com/ru/b/0491/

https://www.viva64.com/ru/b/0487/

(см. там ссылки)


"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Аноним , 08-Апр-17 00:33 
Ну вообще-то да:
https://bugs.freebsd.org/bugzilla/buglist.cgi?email2=viva64&...
Причем, часть уже закрыли.

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Отправлено Andrey_Karpov , 13-Апр-17 15:43 
P.S.

Мы перепроверили с помощью PVS-Studio свежую версию исходных кодов проекта FreeBSD. Git revision: 59fe28863e6a0903b50b37c616f21a2a865bbbf2

Мы немного поработали с отчетов, отфильтровав явно лишние на наш взгляд сообщения. В списке конечно всё равно осталось много ложных срабатываний, но дальше уже нет возможности убирать лишние предупреждения крупными группами. Оставшиеся предупреждения следует смотреть по отдельности.

Отчет выкладываем в двух форматах (tasks и csv). Тому, кто будет работать с отчетом в начале следует произвести автоматическую замену SOURCE_ROOT на нужный путь, чтобы правильно начала работать навигация.

Tasks: http://cppfiles.com/freebsd.plog.tasks

Csv: http://cppfiles.com/freebsd.plog.csv

Готовы помочь чем сможем и ответить на любые вопросы.