https://www.opennet.dev/openforum/vsluhforumID3/68398.html На прошедшем недавно саммите в Бостоне, организованном компаний Red Hat, старший инженер по безопасности Джош Брессерс (Josh Bressers) пояснил (http://www.esecurityplanet.com/features/article.php/3890616/Open-Source-is-Inherently-More-Secure-Says-Red-Hat.htm) почему Open Source модель является наилучшей для создания защищенного программного обеспечения: "Мы не носим одежду".<br><br><br>Естественно, он высказался в переносном смысле, говоря о том, что Open Source ПО открыто для всех глаз: "У нас нет секретов, мы не можем незаметно пропихнуть потребителям исправление в безопасности, ведь вы всегда можете проверить исходные коды". В мире же закрытого ПО вам приходится полностью довериться вашему поставщику - вы не можете проверить качество исходного кода.<br><br><br>Говоря о фиксированном цикле публикации обновлений безопасности, выпускаемых для ОС Windows только каждую вторую среду месяца, Джош констатировал, что Red Hat не может так поступить, ибо Microsoft имеет возможность сокрытия ошибок по собств...<br><br>URL: http://www.ese https://www.opennet.dev/openforum/vsluhforumID3/68398.html#52 Sun, 21 Nov 2010 02:46:35 GMT Возьмём открытое ПО. Если продукт достаточно популярный, то и народу, прошерстивших код, будет больше. То есть для популярных продуктов преимущества вполне очевидны.<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#51 Tue, 06 Jul 2010 12:16:57 GMT если есть такая задача, то открытый код можно просмотреть / просканить утилитами для поиска ошибок в исходном коде. А закрытый придется дизассемблить или еще как разбираться с бинарником.<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#50 Sun, 04 Jul 2010 14:12:54 GMT &gt;&gt;И, по сути, тут только два варианта: либо не умеют (не успевают), <br>&gt;&gt;либо не хотят (т.е. им пох). <br>&gt;<br>&gt;Мне представляется, что это проблема, в чем-то, еще и управления. Вкуса менеджмента, <br>&gt;если угодно. <br><br>Конечно.<br>Верхи влияют на низы самым непосредственным образом.<br>В том и фишка - если бы верхи захотели, они бы могли сильно увеличить качество кода.<br>Уволить плохих кодеров, нанять хороших, и закрутить гайки оставшимся.<br>Однакож...<br><br>И довольно удивительно, что в открытом софте качество программ - выше.<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#49 Sun, 04 Jul 2010 14:08:26 GMT &gt;Компилил на FreeBSD, был быстрее, но все равно не так как МС... <br>&gt;<br><br>А теперь попробуйте скомпилить MS под FreeBSD =)<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#48 Sun, 04 Jul 2010 04:49:09 GMT Компилил на FreeBSD, был быстрее, но все равно не так как МС...<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#47 Fri, 02 Jul 2010 16:52:43 GMT Ага - а кроме убунты он знач нигде не работает)<br>Скомпилируй на gentoo - будешь очень сильно удивлён как он открывает за пару секунд.<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#46 Fri, 02 Jul 2010 11:55:35 GMT &gt; Ну а дальше с этой мантрой на устах отправляемся листать тома security advisory по какому-<br>&gt; нибудь firefox<br><br>Угу, а потом сравниваем число взломов через IE и FF например. Почему-то все винлокеры и порнобаннеры на десктопе - сугубо у юзеров IE появились. Странно. Практика показала что отучение юзеров от IE в пользу FF - хороший метод перестать выгребать у них винлокеры и порнобаннеры. <br><br>Ах да, еще можно вспомнить пароль на загрузку и вход в BIOS в (проприетарном ессно) BIOS. Жутко стойко реализовано: сравнивается аж 16-битная :D чексумма пароля в CMOS, посему пассворд вскрывается не более чем за 2^16 попыток. Но этого парням из Award видимо показалось мало. И они вдули мастер-пароль AWARD_SW. Чтобы уж наверняка и сразу обходить.<br><br>Вопрос на засыпку: кто-то видел в (открытом) софте более халтурную реализацию проверки пароля? Даже загрузчик, GRUB, умеет явно более стойкую проверку пароля по MD5 хешу. И я думаю если бы этот ламерский код был бы сразу вывешен на обозрение - тем кто его писал мозг бы вправил https://www.opennet.dev/openforum/vsluhforumID3/68398.html#45 Fri, 02 Jul 2010 10:57:13 GMT &gt; И где тут лукавство?<br><br>А с какой стати модель распространения и лицензирования ПО будет влиять на такие сугубо технические факторы, как прозрачность кода и легкость поиска и исправления ошибок? Это как бы ортогональные друг-другу вещи.<br><br>Вот есть два куска кода по 100к строк каждый. Первый свободно распространяется в исходниках второй же - закрытый. Известно, что в каждом куске кода есть как минимум 10ть ошибок. Вам нужно их найти. Вопрос: чем открытость или закрытость кода может Вам помочь в этом нелегком деле?<br> https://www.opennet.dev/openforum/vsluhforumID3/68398.html#44 Fri, 02 Jul 2010 10:42:51 GMT &gt;Комментарий от автора новости: инженер по безопасности Red Hat немного лукавит, говоря о том, что ошибки в Open Source более заметны из-за самой природы открытого ПО.<br><br>И где тут лукавство?<br>