The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Открытое ПО изначально более безопасно, утверждает Red Hat

01.07.2010 18:54

На прошедшем недавно саммите в Бостоне, организованном компаний Red Hat, старший инженер по безопасности Джош Брессерс (Josh Bressers) пояснил почему Open Source модель является наилучшей для создания защищенного программного обеспечения: "Мы не носим одежду".

Естественно, он высказался в переносном смысле, говоря о том, что Open Source ПО открыто для всех глаз: "У нас нет секретов, мы не можем незаметно пропихнуть потребителям исправление в безопасности, ведь вы всегда можете проверить исходные коды". В мире же закрытого ПО вам приходится полностью довериться вашему поставщику - вы не можете проверить качество исходного кода.

Говоря о фиксированном цикле публикации обновлений безопасности, например, выпускаемых для ОС Windows только каждую вторую среду месяца, Джош констатировал, что Red Hat не может так поступить, ибо Microsoft имеет возможность сокрытия ошибок по собственной прихоти, в мире же Open Source такое невозможно, ибо каждый может проверить исходные коды приложения.

Другим фактором положительно влияющим на безопасность открытого ПО является совместная работа команд различных Linux-дистрибутивов, работающих совместно в области выявления и исправления проблем безопасности. Например, если разработчики Debian обнаружили уязвимость, они обязательно поделятся информацией с товарищами из других Linux-дистрибутивов, так как они осознают, что проблемы одного открытого проекта являются проблемами каждого участника движения СПО.

В качестве примера преимуществ открытой модели разработки Джош рассказал об обнаруженной в конце девяностых годов уязвимости "ping of death", позволявшей инициировать крах компьютера через отправку специально оформленного ICMP-пакета. Ошибке был подвержен огромный спектр продуктов, от операционных систем, до маршрутизаторов и принтеров. В Linux проблема была устранена через 2 часа после публикации сообщения об уязвимости, в то время как поставщики проприетарных решений затратили на подготовку и распространение исправления дни, недели и даже месяцы.

Комментарий от автора новости: инженер по безопасности Red Hat немного лукавит, говоря о том, что ошибки в Open Source более заметны из-за самой природы открытого ПО. Однако, как показывает практика, и в среде открытого ПО постоянно молча устраняют ошибки, многие из которых порой остаются незамеченными по несколько лет.

  1. Главная ссылка к новости (http://www.esecurityplanet.com...)
  2. OpenNews: Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux 4
  3. OpenNews: Анализ проблем безопасности и оценка времени поддержки Red Hat Enterprise Linux
  4. OpenNews: Анализ рисков, связанных с проблемами безопасности в Red Hat Enterprise Linux
  5. OpenNews: Новая версия ClamAV с исправлением уязвимости (
  6. OpenNews: Уязвимости в ядре Linux и нужно ли их хранить в тайне
Автор новости: Artem S. Tashkinov
Тип: Тема для размышления
Ключевые слова: redhat, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (50) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, klalafuda (?), 20:37, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/

    Ну а дальше с этой мантрой на устах отправляемся листать тома security advisory по какому-нибудь firefox. А сколько нам ещё открытий чудных готовит сей продукт в недалеком - даже и представить страшно.. ;)
     
     
  • 2.8, pro100master (ok), 21:42, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    была тут пару лет назад ссылка на статью, где статистическими методами определяли вероятность ошибок в софте - коммерческом и открытом. Напомнить пропорцию? :)))
     
     
  • 3.10, sHaggY_caT (ok), 22:21, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Была бы благодарна, если бы запостили линк: хочется дополнительный аргумент для убеждения заказчиков :)
     
     
  • 4.16, pro100master (ok), 23:55, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну я так сходу и не вспомню, но погуглив примерно,можно найти и такое:
    >компания Reasoning, специализирующаяся на средствах автоматического анализа качества кода >и консалтинге, опубликовала недавно данные по анализу кода некоторых популярных продуктов >категории Open Source: MySQL (260 056 строк кода), Linux (125 502 строк — только модули, >реализующие протокол TCP/IP) и новая версия Apache (76 208 строк). Число ошибок на 1000 >строк кода в этих программах составило 0,09; 0,1 и 0,53 соответственно, а среднее число >ошибок, найденных специалистами Reasoning в исследованных ими продуктах с коммерческой >лицензией составляет 0,55. Еще один анализ качества кода Linux был выполнен компанией >Coverity и также показал, что среднее число ошибок в коде открытых продуктов меньше, чем в >среднем по некоторому набору неназванного коммерческого программного обеспечения.
     
     
  • 5.17, klalafuda (?), 23:58, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > чем в среднем по некоторому набору неназванного коммерческого программного обеспечения.

    Эмм.. Ну и с чем мы будем сравнивать? С неким абстрактным 'неназванным коммерческим программным обеспечением'? Это даже не смешно..

     
     
  • 6.19, VoDA (ok), 00:13, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    а ни одна коммерческая компания не даст разрешения написать название своего продукта. У Oracle вообще весело - без их разрешения даже тесты производительности выкладывать нельзя.
     
     
  • 7.21, klalafuda (?), 00:36, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а ни одна коммерческая компания не даст разрешения написать название своего продукта. У Oracle вообще весело - без их разрешения даже тесты производительности выкладывать нельзя.

    Я понимаю, что не даст. Так что 'тесты' коверити - это как бы ни о чем. Мы тут чего-то поделали но чего вам не скажем но получилось вот чего-та. Отлично. Замечательный базис для построения собственного мнения.

     
  • 7.26, sHaggY_caT (ok), 02:51, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >а ни одна коммерческая компания не даст разрешения написать название своего продукта.
    >У Oracle вообще весело - без их разрешения даже тесты производительности
    >выкладывать нельзя.

    VmWare тоже не разрешает проводить бенчмарки, только всем(кроме партнеров VmWare) все равно, и бенчмарков ESX, в сравнении с другими гипервизорами, в сети куча :)

    Спасибо

     
     
  • 8.35, VoDA (ok), 11:52, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    значит Vmware не хотят денег себе подзаработать на нарушителях лицензий компа... текст свёрнут, показать
     
     
  • 9.37, sHaggY_caT (ok), 12:12, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А Вы попробуйте найти людей, пишущих в анонимные блоги, анонимно, и не со своего... текст свёрнут, показать
     
  • 6.30, pro100master (ok), 09:40, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ммм. А что значит сравнивать? У вас есть вполне конкретное число ошибок на 1000 строк кода. Его и сравнивайте.
     
  • 5.27, eve (?), 04:29, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пробегала где-то ссылка. Вроде сравнивали KDE, QNX и чего-то ещё. Народ чуть со смеху не задохнулся.
     
  • 2.20, XoRe (ok), 00:34, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >
    >Ну а дальше с этой мантрой на устах отправляемся листать тома security
    >advisory по какому-нибудь firefox. А сколько нам ещё открытий чудных готовит
    >сей продукт в недалеком - даже и представить страшно.. ;)

    А чеж в недалеком будушем, чеж не сейчас?
    Треть пользователей сидит на FF, а эпидемий вирусов и массовых заражений (как у IE) нету.

     
  • 2.46, User294 (ok), 15:55, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну а дальше с этой мантрой на устах отправляемся листать тома security advisory по какому-
    > нибудь firefox

    Угу, а потом сравниваем число взломов через IE и FF например. Почему-то все винлокеры и порнобаннеры на десктопе - сугубо у юзеров IE появились. Странно. Практика показала что отучение юзеров от IE в пользу FF - хороший метод перестать выгребать у них винлокеры и порнобаннеры.

    Ах да, еще можно вспомнить пароль на загрузку и вход в BIOS в (проприетарном ессно) BIOS. Жутко стойко реализовано: сравнивается аж 16-битная :D чексумма пароля в CMOS, посему пассворд вскрывается не более чем за 2^16 попыток. Но этого парням из Award видимо показалось мало. И они вдули мастер-пароль AWARD_SW. Чтобы уж наверняка и сразу обходить.

    Вопрос на засыпку: кто-то видел в (открытом) софте более халтурную реализацию проверки пароля? Даже загрузчик, GRUB, умеет явно более стойкую проверку пароля по MD5 хешу. И я думаю если бы этот ламерский код был бы сразу вывешен на обозрение - тем кто его писал мозг бы вправили быстро. Аналогичная история - с GSM и его секретными алгоритмами шифрования и аутентификации. Да, парни из ETSI выучили урок - теперь все спеки у них почему-то открытые :)

     

  • 1.2, Аноним (-), 20:56, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мне кажется, что безопасность зависит прежде всего от квалификации разработчиков? Утверждение Red Hat верно только в случае, если квалификация программистов аналогичных OpenSource и проприетарных программ в среднем одинакова.
     
     
  • 2.4, Фкук (?), 20:59, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Мне кажется, что безопасность зависит прежде всего от квалификации разработчиков? Утверждение Red
    >Hat верно только в случае, если квалификация программистов аналогичных OpenSource и
    >проприетарных программ в среднем одинакова.

    Да. Такие утверждения необходимо уточнять оборотом: "при условии, что код аудируется квалифицированным сообществом".


     
  • 2.6, klalafuda (?), 21:14, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/

    Не только - квалификация. Есть ведь ещё и сам процесс разработки программного обеспечения. А тем более - группой программистов (а тем более - большой). Если процесс построен из рук вон плохо, одна лишь голая квалификация не спасет Титаник :)
     

  • 1.3, fog (?), 20:57, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чуть более подробно перевод вот тут:
    http://root.ua/novostnye-lenty/full/article/red-hat-open-source-bezopasnee-pr
     
  • 1.5, аноним (?), 21:02, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Всё правильно утверждает RedHat
     
  • 1.7, dimqua (ok), 21:19, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очевидное и невероятное!
     
     
  • 2.13, Аноним (-), 23:06, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Срытие покровов!
     

  • 1.9, Zenitur (?), 21:49, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это ясное дело. Теперь об этом узнае намного больше людей, причём предприимчивых и влиятельных. Спасибо!
     
     
  • 2.14, Аноним (-), 23:28, 01/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Это ясное дело. Теперь об этом узнае намного больше людей, причём предприимчивых
    >и влиятельных. Спасибо!

    Предприимчивые и влиятельные в массе своей у нас как то далеки от ИТ. А многие и вовсе перешагнув азбуку ИТ угодили прямо в "нанэ"-технологии. Ред Хат для них по звуку не больше чем мовитон.

     

  • 1.15, klalafuda (?), 23:40, 01/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Предприимчивые и влиятельные в массе своей у нас как то далеки от ИТ. А многие и вовсе перешагнув азбуку ИТ угодили прямо в "нанэ"-технологии. Ред Хат для них по звуку не больше чем мовитон.

    Не думаю, что товарищ Брессерс в процессе написания статьи постоянно держал в голове специфику российских реалей и пытался родить статью специально для нас..

     
     
  • 2.18, Аноним (-), 00:07, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Не думаю, что товарищ Брессерс в процессе написания статьи постоянно держал в
    >голове специфику российских реалей и пытался родить статью специально для нас..

    Да я филосовствовал в общем то на тему поста от Zenitur, а не тов-ща Брессерса. У Брессерса как раз всё очевидно и скорее Брессерс задумается над российскими реалиями ИТ нежели наши чубайсы


     

  • 1.22, XoRe (ok), 01:04, 02/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Аргумент "каждый может посмотреть исходный код" - лукавство.
    Пользователей с таким уровнем знаний, которые могут эффективно изучать исходники, мало.
    И этот процент стремится к нулю (все больше новичков осваивают linux -> процент kernel-гуру падает).
    Остается только надеяться на тех, кто занимается этим профессионально, и публикует свои открытия миру.
    Но и у закрытых продуктов тоже есть энтузиасты, которые вылавливают ошибки (без исходников), и могут опубликовать информацию о них.

    А вообще, мне кажется, что под "закрытым ПО" тут подразумевают продукты от MS.
    И почему-то никто не называет главную причину:
    В MS сидят кривые программисты, которые пишут кривые программы своими кривыми руками.

    Нужно разделить продукты от MS от остальных закрытых программ.
    Потому что есть много закрытых проектов, которые НЕ имеют репутации глючных.
    А когда валишь все проприетарное ПО в одну кучу, аргументация размывается и становится абстрактной, зыбкой (которую легко опровергнуть конкретными примерами).

     
     
  • 2.23, klalafuda (?), 01:09, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Пользователей с таким уровнем знаний, которые могут эффективно изучать исходники, мало.

    И это число стремится к нулю (все больше новичков осваивают linux -> процент kernel-гуру падает).

    Эмм... Наверное, уважаемый дон имел ввиду 'процент пользователей'? Иначе, я сильно переживаю за судьбу Инго. Ведь если жизни гуру так сильно зависят от суммарной массы чайников а она, как известно, нарастает стремительными темпами, ему в скором времени может сильно не поздоровиться :(

    > И почему-то никто не называет главную причину: В MS сидят кривые программисты, которые пишут кривые программы своими кривыми руками.

    Сразу виден большой знаток программистов компании Microsoft. Причем явно, что у человека ну никак не меньше десятка а то и двух лет непосредственного опыта работы в компании. И знает он это все совсем не понаслышке. Ибо сам видел. Своими глазами. И трогал руками...

     
     
  • 3.24, XoRe (ok), 01:44, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Эмм... Наверное, уважаемый дон имел ввиду 'процент пользователей'?

    Именно)
    Уже поправил свой пост.

    >Сразу виден большой знаток программистов компании Microsoft. Причем явно, что у человека
    >ну никак не меньше десятка а то и двух лет непосредственного
    >опыта работы в компании. И знает он это все совсем не
    >понаслышке. Ибо сам видел. Своими глазами. И трогал руками...

    Двадцать лет работы в компании?
    Те, кто столько проработали в MS, сейчас занимают там высокие посты, и кричат "developers! developers!" =)
    А по существу - для того, чтобы оценить качество продукта, нужно сначала этим продуктом основательно попользоваться, а потом сравнить с аналогами.
    Ведь, чтобы оценить качество булочки, вам же не нужно быть кондитером?
    Достаточно скушать булочку одного кондитера, а потом попробовать булочки от других кондитеров.
    В случае MS - очень много людей очень долго кушают соленые булочки и думают, что это и называется "сладкая сдоба".
    Опыта работы с негативными особенностями продуктов MS у меня хоть отбавляй.
    Как и у многих благородных донов здесь.

    Просто некоторые перлы программ от MS заставляют всерьез задуматься об адекватности их разработчиков.
    И, по сути, тут только два варианта: либо не умеют (не успевают), либо не хотят (т.е. им пох).
    Оба варианта не в сторону MS.

    P.S.
    Но я признаю, что использовал черезчур крепкие выражения, которые могут оскорбить чувства разработчиков MS.
    К сожалению, я уже не могу отредактировать свой пост выше.

     
     
  • 4.25, klalafuda (?), 02:14, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Просто некоторые перлы программ от MS заставляют всерьез задуматься об адекватности их разработчиков. И, по сути, тут только два варианта: либо не умеют (не успевают), либо не хотят (т.е. им пох). Оба варианта не в сторону MS.

    Ах! Если бы это было прерогативой сугубо разработчиков MS! На сколько мир стал бы чище и светлее... Мечты, мечты...

    Я вам открою Большой Секрет. Только Вы, прошу, никому-никому! Сугубо между нами.

    Так вот. Большой Секрет состоит в том, что разработчики MS ровным счетом ни чем не отличаются от всех остальных разработчиков. Ни в худшую ни в лучшую сторону. Ни от разработчиков Google ни то IBM ни то KDE или Qt. Вообще. Ни-чем.

     
     
  • 5.31, Аноним (-), 10:12, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Вообще. Ни-чем.

    Ложь. Они до сих пор не осилили вставку из буфера средней кнопкой мыши и копирование в буфер при выделении, что экономит кучу времени. А в КДЕ я этим уже 10 лет пользуюсь, ergo прогеры отличаются

     
     
  • 6.32, VolanD (ok), 11:17, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>Вообще. Ни-чем.
    >
    >Ложь. Они до сих пор не осилили вставку из буфера средней кнопкой
    >мыши и копирование в буфер при выделении, что экономит кучу времени.
    >А в КДЕ я этим уже 10 лет пользуюсь, ergo прогеры
    >отличаются

    НУ у меня нет на мыши средней кнопка, а про выделение текста скажу- в момент выделения у вас в буфере уже может быть нужная информация. Кроме того, про кривость МС... Сравним MS Office 2003 vs OpenOffice ?

     
     
  • 7.36, аноним (?), 11:55, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сравним MS Office 2003 vs OpenOffice ?

    Ты с 2007 посравнивай.
    Прикинь, знаю порядочное число людей, которые самостоятельно перешли на OpenOffice, задолбали глюки и падения m$

     
     
  • 8.41, Александр (??), 13:31, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А я знаю немало людей, матерящихся, потому что OO, хоть и похож на MSO, оказывае... текст свёрнут, показать
     
     
  • 9.43, VolanD (ok), 13:40, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален Ну я в принципе про это и говорю Пусть ОО будет внешне... текст свёрнут, показать
     
     
  • 10.47, Vitaly (??), 20:52, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ага - а кроме убунты он знач нигде не работает Скомпилируй на gentoo - будешь о... текст свёрнут, показать
     
     
  • 11.48, VolanD (ok), 08:49, 04/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Компилил на FreeBSD, был быстрее, но все равно не так как МС ... текст свёрнут, показать
     
     
  • 12.49, XoRe (ok), 18:08, 04/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь попробуйте скомпилить MS под FreeBSD ... текст свёрнут, показать
     
  • 6.34, Аноним (-), 11:40, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Они до сих пор не осилили вставку из буфера средней кнопкой мыши и копирование в буфер при выделении, что экономит кучу времени. А в КДЕ я этим уже 10 лет пользуюсь, ergo прогеры отличаются

    А каким боком прогеры к этим фичам? Это дизайн интерфейса. Или маркетинговое ограничение (не в этом случае, но бывает часто)

     
  • 4.42, Александр (??), 13:40, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >И, по сути, тут только два варианта: либо не умеют (не успевают),
    >либо не хотят (т.е. им пох).

    Мне представляется, что это проблема, в чем-то, еще и управления. Вкуса менеджмента, если угодно.

    Вот я до сих пор с содрогание Borland вспоминаю, эти их, блин, контролы самопальные. "Кнопку ОК по-борладновски", которая и из оформления системы выбивалась, и кнопкой с точки зрения системы же не являлась. Тот же Apple со своим гайдом, как делать красивый софт, очень популярности платформы помог, поскольку графика (GUI) была у всех разработчикой примерно одного стиля.

    Это про такую мелочь, как GUI, а уж про вкус к написанию красивого кода я и не говорю. Индусский спагетти-код для крупных корпораций - вещь неприятная, но это реалии. Работает - сдали, потом посмотрим - и всего-то дела!

    Так что не только MS стоит корить. У других монстров есть примеры кода не менее уникального :) по знаменитому соотношению WTF/число_строк_кода :)

     
     
  • 5.50, XoRe (ok), 18:12, 04/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>И, по сути, тут только два варианта: либо не умеют (не успевают),
    >>либо не хотят (т.е. им пох).
    >
    >Мне представляется, что это проблема, в чем-то, еще и управления. Вкуса менеджмента,
    >если угодно.

    Конечно.
    Верхи влияют на низы самым непосредственным образом.
    В том и фишка - если бы верхи захотели, они бы могли сильно увеличить качество кода.
    Уволить плохих кодеров, нанять хороших, и закрутить гайки оставшимся.
    Однакож...

    И довольно удивительно, что в открытом софте качество программ - выше.

     

  • 1.28, northbear (??), 06:58, 02/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Комментарий автора -1. Все именно так, как сказал Брессерс. Приведу аналогию:

    Утверждение: автомобильный транспорт в общем быстрее, чем велосипеды. Это ни у кого не вызывает сомнения. От того, что кто-то не умеет водить машину, называть это утверждение лукавым это лукавство:)).
    Очевидно, что это проблемы того, кто не умеет водить машину. В конце концов он может воспользоваться услугами профессионального водителя, если у него все так плохо.

    Так и здесь, Брессерс абсолютно прав. Никто никому ничего безопасным не сделает, если он сам этим не озаботится. Если пользователю ума не хватает, то ему можно дать любой софт и толку не будет.  Для таких пользователей весь софт можно сказать проприетарный. Для них разницы открытые исходные тексты или закрытые никакой.

    И все равно, открытые исходные тексты при прочих равных гарантируют большую безопасность. Даже если пользователь не разбирается в вопросе, то ему может достать ума воспользоваться услугами независимого специалиста, который в этом разбирается может порекомендовать, что стоит использовать, а что нет. Если не уверен, то можешь обратиться к нескольким.

     
     
  • 2.29, Антон (??), 08:34, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Автор немного про другое, он подразумевает то, что некоторые открытые проекты тоже всеми силами стараются молча исправить уязвимости. Пример, ClamAv, в котором через неделю после очередного релиза находят по несколько опасных дыр. Разработчики о том, что это дыры прекрасно понимают, это видно по changelog-у, но пользователи свято полагают, что это очередной багфикс релиз и не торопятся обновляться, а на самом деле там молча исправлено несколько дыр. Взломщики имеют большие шансы найти дыру раньше, чем о ней заговорят в рассылках о безопасности.  Похожая политика невыделения уязвимостей из общего потока ошибок свойственна и Linux ядру, но эту работу неплохо выполняют разработчики дистрибутивов, подтверждая озвученный Брессерсом тезис.
     
  • 2.33, h337 (ok), 11:30, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Опять же, эти _аффтары_ со школы не усвоили разницу между НЕОБХОДИМЫМ и ДОСТАТОЧНЫМ.
    Если ЕСТЬ возможность, то это не означает что ВСЕ АВТОМАТИЧЕСКИ ЕЕ РЕАЛИЗУЮТ.
    У FOSS софта ЕСТЬ ВОЗМОЖНОСТЬ проверить код. У проприетарного такой возможности НЕТ. Всякие нюансы когда возможность таки есть опустим. Они не для простых смертных.
     
     
  • 3.40, Александр (??), 13:25, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Всякие нюансы когда возможность таки есть опустим. Они не для простых
    >смертных.

    Ну да, только жизнь-то и состоит из нюансов. :)

    Правда, нюансы заставляют смотреть на реальный мир, где сама по себе наличие возможности, действительно, не всегда означает ее реализацию, и где надо не только гордиться, что код можно проверить, но и доверять проверяющим. А при росте величины кода проверка может оказаться все более формальной, и на выходе получим вместо брони - кольчугу, каждое звено которой крепко, но в сумме пробиваемую достаточно легко.

    Но конечно, куда простым смертным до таких высей? ;) Лучше продолжать зомбировать народ рассказами, что "у вас закрытый софт - вы в зоне риска, а вот поставите открытый - и все, проблем можете не ждать" :)))

     
  • 2.39, Александр (??), 13:19, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > открытые исходные тексты при прочих равных гарантируют большую безопасность

    Ложь. Открытые тексты _позволяют_ иметь меньшие шансы на возникновение проблем, это да. Но сам факт того, что вместо только известно-какой-корпорации в сырцы смотрит весь мир не означает, что очередное "затыкание дыр" не приведет на конкретной инсталляции к проблемам.

    А спецы... Как говорится, летчик от не летчика отличается тем, что способен поднять в воздух то, что летать способно. А хороший летчик от плохого - тем, что поднимает в воздух даже то, что летает плохо, либо к этому вовсе неспособно :)

    Другой вопрос, сколько сил (денег, времени) уйдет на это. Но не все задачи решаются открытым софтом, вот засада! А порой создание аналогов закрытого софта из открытых компонентов может обойтись дороже и дольше собственно закрытого софта, и может оказаться менее стабильным в работе, что по факту "плюсов" решению не добавит.

    Если мы, конечно, о реальной жизни, а не сферическом коне в вакууме :)

     

  • 1.38, Александр (??), 13:13, 02/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О чем _новом_ сказал автор _новости_?

    Повторил, действительно, старую мантру.

    Только надо учесть, что несмотря на открытость и потенциальную возможность проверить код на ошибочность очень немногие пользователи способны это сделать. Тем более когда тот же RHEL всасывает _бинарное_ обновление, не все почему-то качают сначала diff изменений, и решают, стоит ли оно того.

    А дырявее ли код закрытых продуктов - это не мерка, в конце концов в бизнесе есть и обратная точка зрения, что постоянно обновляемый софт (открытый или нет), каждое обновление которого несет хоть небольшую, но вероятность получить простой системы, не всегда менее рискован для бизнеса, чем система (неважно, опять же, с открытым или нет ПО), которая как пять лет назад настроена, так и выполняет свою работу как надо. Т.е. "работает - не трогай".

    Примерно как "лучше поить человека отфильтрованной, чистой, кипяченой водой, чем постоянно делать операции, перекраивая его организм так, чтобы никакая дрянь из воды ему не повредила".

     
  • 1.44, анонимиус (?), 14:42, 02/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Комментарий от автора новости: инженер по безопасности Red Hat немного лукавит, говоря о том, что ошибки в Open Source более заметны из-за самой природы открытого ПО.

    И где тут лукавство?

     
     
  • 2.45, klalafuda (?), 14:57, 02/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > И где тут лукавство?

    А с какой стати модель распространения и лицензирования ПО будет влиять на такие сугубо технические факторы, как прозрачность кода и легкость поиска и исправления ошибок? Это как бы ортогональные друг-другу вещи.

    Вот есть два куска кода по 100к строк каждый. Первый свободно распространяется в исходниках второй же - закрытый. Известно, что в каждом куске кода есть как минимум 10ть ошибок. Вам нужно их найти. Вопрос: чем открытость или закрытость кода может Вам помочь в этом нелегком деле?

     
     
  • 3.51, VoDA (ok), 16:16, 06/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    если есть такая задача, то открытый код можно просмотреть / просканить утилитами для поиска ошибок в исходном коде. А закрытый придется дизассемблить или еще как разбираться с бинарником.
     

  • 1.52, mento (?), 05:46, 21/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Возьмём открытое ПО. Если продукт достаточно популярный, то и народу, прошерстивших код, будет больше. То есть для популярных продуктов преимущества вполне очевидны.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру