На прошедшем недавно саммите в Бостоне, организованном компаний Red Hat, старший инженер по безопасности Джош Брессерс (Josh Bressers) пояснил (http://www.esecurityplanet.com/features/article.php/3890616/...) почему Open Source модель является наилучшей для создания защищенного программного обеспечения: "Мы не носим одежду".
Естественно, он высказался в переносном смысле, говоря о том, что Open Source ПО открыто для всех глаз: "У нас нет секретов, мы не можем незаметно пропихнуть потребителям исправление в безопасности, ведь вы всегда можете проверить исходные коды". В мире же закрытого ПО вам приходится полностью довериться вашему поставщику - вы не можете проверить качество исходного кода.
Говоря о фиксированном цикле публикации обновлений безопасности, выпускаемых для ОС Windows только каждую вторую среду месяца, Джош констатировал, что Red Hat не может так поступить, ибо Microsoft имеет возможность сокрытия ошибок по собств...URL: http://www.esecurityplanet.com/features/article.php/3890616/...
Новость: https://www.opennet.ru/opennews/art.shtml?num=27155
Ну а дальше с этой мантрой на устах отправляемся листать тома security advisory по какому-нибудь firefox. А сколько нам ещё открытий чудных готовит сей продукт в недалеком - даже и представить страшно.. ;)
была тут пару лет назад ссылка на статью, где статистическими методами определяли вероятность ошибок в софте - коммерческом и открытом. Напомнить пропорцию? :)))
Была бы благодарна, если бы запостили линк: хочется дополнительный аргумент для убеждения заказчиков :)
ну я так сходу и не вспомню, но погуглив примерно,можно найти и такое:
>компания Reasoning, специализирующаяся на средствах автоматического анализа качества кода >и консалтинге, опубликовала недавно данные по анализу кода некоторых популярных продуктов >категории Open Source: MySQL (260 056 строк кода), Linux (125 502 строк — только модули, >реализующие протокол TCP/IP) и новая версия Apache (76 208 строк). Число ошибок на 1000 >строк кода в этих программах составило 0,09; 0,1 и 0,53 соответственно, а среднее число >ошибок, найденных специалистами Reasoning в исследованных ими продуктах с коммерческой >лицензией составляет 0,55. Еще один анализ качества кода Linux был выполнен компанией >Coverity и также показал, что среднее число ошибок в коде открытых продуктов меньше, чем в >среднем по некоторому набору неназванного коммерческого программного обеспечения.
> чем в среднем по некоторому набору неназванного коммерческого программного обеспечения.Эмм.. Ну и с чем мы будем сравнивать? С неким абстрактным 'неназванным коммерческим программным обеспечением'? Это даже не смешно..
а ни одна коммерческая компания не даст разрешения написать название своего продукта. У Oracle вообще весело - без их разрешения даже тесты производительности выкладывать нельзя.
> а ни одна коммерческая компания не даст разрешения написать название своего продукта. У Oracle вообще весело - без их разрешения даже тесты производительности выкладывать нельзя.Я понимаю, что не даст. Так что 'тесты' коверити - это как бы ни о чем. Мы тут чего-то поделали но чего вам не скажем но получилось вот чего-та. Отлично. Замечательный базис для построения собственного мнения.
>а ни одна коммерческая компания не даст разрешения написать название своего продукта.
>У Oracle вообще весело - без их разрешения даже тесты производительности
>выкладывать нельзя.VmWare тоже не разрешает проводить бенчмарки, только всем(кроме партнеров VmWare) все равно, и бенчмарков ESX, в сравнении с другими гипервизорами, в сети куча :)
Спасибо
значит Vmware не хотят денег себе подзаработать на нарушителях лицензий ;)компании размером побольше не гнушаются подобным, а уровня Oracle так могут и вообще закопать компанию нарушившую лицензию...
Пожалуйста ;)
>значит Vmware не хотят денег себе подзаработать на нарушителях лицензий ;)
>
>компании размером побольше не гнушаются подобным, а уровня Oracle так могут и
>вообще закопать компанию нарушившую лицензию...А Вы попробуйте найти людей, пишущих в анонимные блоги, анонимно, и не со своего IP (за ТОРом), найти, конечно, можно кого угодно(и ТОР не панацея), но кому это нужно?
> Пожалуйста
спасибо было адресовано pro100master, извините, перепутала.
Ммм. А что значит сравнивать? У вас есть вполне конкретное число ошибок на 1000 строк кода. Его и сравнивайте.
Пробегала где-то ссылка. Вроде сравнивали KDE, QNX и чего-то ещё. Народ чуть со смеху не задохнулся.
>
>Ну а дальше с этой мантрой на устах отправляемся листать тома security
>advisory по какому-нибудь firefox. А сколько нам ещё открытий чудных готовит
>сей продукт в недалеком - даже и представить страшно.. ;)А чеж в недалеком будушем, чеж не сейчас?
Треть пользователей сидит на FF, а эпидемий вирусов и массовых заражений (как у IE) нету.
> Ну а дальше с этой мантрой на устах отправляемся листать тома security advisory по какому-
> нибудь firefoxУгу, а потом сравниваем число взломов через IE и FF например. Почему-то все винлокеры и порнобаннеры на десктопе - сугубо у юзеров IE появились. Странно. Практика показала что отучение юзеров от IE в пользу FF - хороший метод перестать выгребать у них винлокеры и порнобаннеры.
Ах да, еще можно вспомнить пароль на загрузку и вход в BIOS в (проприетарном ессно) BIOS. Жутко стойко реализовано: сравнивается аж 16-битная :D чексумма пароля в CMOS, посему пассворд вскрывается не более чем за 2^16 попыток. Но этого парням из Award видимо показалось мало. И они вдули мастер-пароль AWARD_SW. Чтобы уж наверняка и сразу обходить.
Вопрос на засыпку: кто-то видел в (открытом) софте более халтурную реализацию проверки пароля? Даже загрузчик, GRUB, умеет явно более стойкую проверку пароля по MD5 хешу. И я думаю если бы этот ламерский код был бы сразу вывешен на обозрение - тем кто его писал мозг бы вправили быстро. Аналогичная история - с GSM и его секретными алгоритмами шифрования и аутентификации. Да, парни из ETSI выучили урок - теперь все спеки у них почему-то открытые :)
Мне кажется, что безопасность зависит прежде всего от квалификации разработчиков? Утверждение Red Hat верно только в случае, если квалификация программистов аналогичных OpenSource и проприетарных программ в среднем одинакова.
>Мне кажется, что безопасность зависит прежде всего от квалификации разработчиков? Утверждение Red
>Hat верно только в случае, если квалификация программистов аналогичных OpenSource и
>проприетарных программ в среднем одинакова.Да. Такие утверждения необходимо уточнять оборотом: "при условии, что код аудируется квалифицированным сообществом".
Не только - квалификация. Есть ведь ещё и сам процесс разработки программного обеспечения. А тем более - группой программистов (а тем более - большой). Если процесс построен из рук вон плохо, одна лишь голая квалификация не спасет Титаник :)
Чуть более подробно перевод вот тут:
http://root.ua/novostnye-lenty/full/article/red-hat-open-sou...
Всё правильно утверждает RedHat
Очевидное и невероятное!
Срытие покровов!
Это ясное дело. Теперь об этом узнае намного больше людей, причём предприимчивых и влиятельных. Спасибо!
>Это ясное дело. Теперь об этом узнае намного больше людей, причём предприимчивых
>и влиятельных. Спасибо!Предприимчивые и влиятельные в массе своей у нас как то далеки от ИТ. А многие и вовсе перешагнув азбуку ИТ угодили прямо в "нанэ"-технологии. Ред Хат для них по звуку не больше чем мовитон.
> Предприимчивые и влиятельные в массе своей у нас как то далеки от ИТ. А многие и вовсе перешагнув азбуку ИТ угодили прямо в "нанэ"-технологии. Ред Хат для них по звуку не больше чем мовитон.Не думаю, что товарищ Брессерс в процессе написания статьи постоянно держал в голове специфику российских реалей и пытался родить статью специально для нас..
>Не думаю, что товарищ Брессерс в процессе написания статьи постоянно держал в
>голове специфику российских реалей и пытался родить статью специально для нас..Да я филосовствовал в общем то на тему поста от Zenitur, а не тов-ща Брессерса. У Брессерса как раз всё очевидно и скорее Брессерс задумается над российскими реалиями ИТ нежели наши чубайсы
Аргумент "каждый может посмотреть исходный код" - лукавство.
Пользователей с таким уровнем знаний, которые могут эффективно изучать исходники, мало.
И этот процент стремится к нулю (все больше новичков осваивают linux -> процент kernel-гуру падает).
Остается только надеяться на тех, кто занимается этим профессионально, и публикует свои открытия миру.
Но и у закрытых продуктов тоже есть энтузиасты, которые вылавливают ошибки (без исходников), и могут опубликовать информацию о них.А вообще, мне кажется, что под "закрытым ПО" тут подразумевают продукты от MS.
И почему-то никто не называет главную причину:
В MS сидят кривые программисты, которые пишут кривые программы своими кривыми руками.Нужно разделить продукты от MS от остальных закрытых программ.
Потому что есть много закрытых проектов, которые НЕ имеют репутации глючных.
А когда валишь все проприетарное ПО в одну кучу, аргументация размывается и становится абстрактной, зыбкой (которую легко опровергнуть конкретными примерами).
> Пользователей с таким уровнем знаний, которые могут эффективно изучать исходники, мало.И это число стремится к нулю (все больше новичков осваивают linux -> процент kernel-гуру падает).
Эмм... Наверное, уважаемый дон имел ввиду 'процент пользователей'? Иначе, я сильно переживаю за судьбу Инго. Ведь если жизни гуру так сильно зависят от суммарной массы чайников а она, как известно, нарастает стремительными темпами, ему в скором времени может сильно не поздоровиться :(
> И почему-то никто не называет главную причину: В MS сидят кривые программисты, которые пишут кривые программы своими кривыми руками.
Сразу виден большой знаток программистов компании Microsoft. Причем явно, что у человека ну никак не меньше десятка а то и двух лет непосредственного опыта работы в компании. И знает он это все совсем не понаслышке. Ибо сам видел. Своими глазами. И трогал руками...
>Эмм... Наверное, уважаемый дон имел ввиду 'процент пользователей'?Именно)
Уже поправил свой пост.>Сразу виден большой знаток программистов компании Microsoft. Причем явно, что у человека
>ну никак не меньше десятка а то и двух лет непосредственного
>опыта работы в компании. И знает он это все совсем не
>понаслышке. Ибо сам видел. Своими глазами. И трогал руками...Двадцать лет работы в компании?
Те, кто столько проработали в MS, сейчас занимают там высокие посты, и кричат "developers! developers!" =)
А по существу - для того, чтобы оценить качество продукта, нужно сначала этим продуктом основательно попользоваться, а потом сравнить с аналогами.
Ведь, чтобы оценить качество булочки, вам же не нужно быть кондитером?
Достаточно скушать булочку одного кондитера, а потом попробовать булочки от других кондитеров.
В случае MS - очень много людей очень долго кушают соленые булочки и думают, что это и называется "сладкая сдоба".
Опыта работы с негативными особенностями продуктов MS у меня хоть отбавляй.
Как и у многих благородных донов здесь.Просто некоторые перлы программ от MS заставляют всерьез задуматься об адекватности их разработчиков.
И, по сути, тут только два варианта: либо не умеют (не успевают), либо не хотят (т.е. им пох).
Оба варианта не в сторону MS.P.S.
Но я признаю, что использовал черезчур крепкие выражения, которые могут оскорбить чувства разработчиков MS.
К сожалению, я уже не могу отредактировать свой пост выше.
> Просто некоторые перлы программ от MS заставляют всерьез задуматься об адекватности их разработчиков. И, по сути, тут только два варианта: либо не умеют (не успевают), либо не хотят (т.е. им пох). Оба варианта не в сторону MS.Ах! Если бы это было прерогативой сугубо разработчиков MS! На сколько мир стал бы чище и светлее... Мечты, мечты...
Я вам открою Большой Секрет. Только Вы, прошу, никому-никому! Сугубо между нами.
Так вот. Большой Секрет состоит в том, что разработчики MS ровным счетом ни чем не отличаются от всех остальных разработчиков. Ни в худшую ни в лучшую сторону. Ни от разработчиков Google ни то IBM ни то KDE или Qt. Вообще. Ни-чем.
>Вообще. Ни-чем.Ложь. Они до сих пор не осилили вставку из буфера средней кнопкой мыши и копирование в буфер при выделении, что экономит кучу времени. А в КДЕ я этим уже 10 лет пользуюсь, ergo прогеры отличаются
>>Вообще. Ни-чем.
>
>Ложь. Они до сих пор не осилили вставку из буфера средней кнопкой
>мыши и копирование в буфер при выделении, что экономит кучу времени.
>А в КДЕ я этим уже 10 лет пользуюсь, ergo прогеры
>отличаютсяНУ у меня нет на мыши средней кнопка, а про выделение текста скажу- в момент выделения у вас в буфере уже может быть нужная информация. Кроме того, про кривость МС... Сравним MS Office 2003 vs OpenOffice ?
> Сравним MS Office 2003 vs OpenOffice ?Ты с 2007 посравнивай.
Прикинь, знаю порядочное число людей, которые самостоятельно перешли на OpenOffice, задолбали глюки и падения m$
>> Сравним MS Office 2003 vs OpenOffice ?
>
>Ты с 2007 посравнивай.
>Прикинь, знаю порядочное число людей, которые самостоятельно перешли на OpenOffice, задолбали глюки
>и падения m$А я знаю немало людей, матерящихся, потому что OO, хоть и похож на MSO, оказывается с ним не особо одинаков как по клавиатурным комбинациям (что хоть как-то, но выучивается), так и по взаимодействию с другим ПО в системе.
И если в бизнес-процессе участвует софтина, писанная с расчетом на то, что ее результаты на выходе передадутся в Excel, то не каждый директор возьмется оплачивать разработку софтины, ему проще будет купить нужное кол-во копий MSO.
Вот лицензирование у MS - это задница, да, но к теме открытости ПО оно не имеет отношения. Кроме того, что почему-то все считают, что ПО открытое = ПО бесплатное, и оберегает от проблем с лицензированием. Это, во-первых, в общем случае не верно, а, во-вторых, кроме вот этой самом бесплатности ни одного аргумента за OO я больше и не слышу. Кстати, он тоже иногда падает, он тоже иногда не спасает документы, он тоже имеет свои "не баги, а фичи", и в нем труднее сверстать что-то красиво :).
>[оверквотинг удален]
>MSO.
>
>Вот лицензирование у MS - это задница, да, но к теме открытости
>ПО оно не имеет отношения. Кроме того, что почему-то все считают,
>что ПО открытое = ПО бесплатное, и оберегает от проблем с
>лицензированием. Это, во-первых, в общем случае не верно, а, во-вторых, кроме
>вот этой самом бесплатности ни одного аргумента за OO я больше
>и не слышу. Кстати, он тоже иногда падает, он тоже иногда
>не спасает документы, он тоже имеет свои "не баги, а фичи",
>и в нем труднее сверстать что-то красиво :).Ну я в принципе про это и говорю. Пусть ОО будет внешне абсолютной копией офиса 2003, все равно он как был тормознутой софтиной так и останется. Я себе когда убунту поставил, меня очень удивило, что MS офис под вайном работает гораздо быстрее, чем родной для убунты...
Ага - а кроме убунты он знач нигде не работает)
Скомпилируй на gentoo - будешь очень сильно удивлён как он открывает за пару секунд.
Компилил на FreeBSD, был быстрее, но все равно не так как МС...
>Компилил на FreeBSD, был быстрее, но все равно не так как МС...
>А теперь попробуйте скомпилить MS под FreeBSD =)
> Они до сих пор не осилили вставку из буфера средней кнопкой мыши и копирование в буфер при выделении, что экономит кучу времени. А в КДЕ я этим уже 10 лет пользуюсь, ergo прогеры отличаютсяА каким боком прогеры к этим фичам? Это дизайн интерфейса. Или маркетинговое ограничение (не в этом случае, но бывает часто)
>И, по сути, тут только два варианта: либо не умеют (не успевают),
>либо не хотят (т.е. им пох).Мне представляется, что это проблема, в чем-то, еще и управления. Вкуса менеджмента, если угодно.
Вот я до сих пор с содрогание Borland вспоминаю, эти их, блин, контролы самопальные. "Кнопку ОК по-борладновски", которая и из оформления системы выбивалась, и кнопкой с точки зрения системы же не являлась. Тот же Apple со своим гайдом, как делать красивый софт, очень популярности платформы помог, поскольку графика (GUI) была у всех разработчикой примерно одного стиля.
Это про такую мелочь, как GUI, а уж про вкус к написанию красивого кода я и не говорю. Индусский спагетти-код для крупных корпораций - вещь неприятная, но это реалии. Работает - сдали, потом посмотрим - и всего-то дела!
Так что не только MS стоит корить. У других монстров есть примеры кода не менее уникального :) по знаменитому соотношению WTF/число_строк_кода :)
>>И, по сути, тут только два варианта: либо не умеют (не успевают),
>>либо не хотят (т.е. им пох).
>
>Мне представляется, что это проблема, в чем-то, еще и управления. Вкуса менеджмента,
>если угодно.Конечно.
Верхи влияют на низы самым непосредственным образом.
В том и фишка - если бы верхи захотели, они бы могли сильно увеличить качество кода.
Уволить плохих кодеров, нанять хороших, и закрутить гайки оставшимся.
Однакож...И довольно удивительно, что в открытом софте качество программ - выше.
Комментарий автора -1. Все именно так, как сказал Брессерс. Приведу аналогию:
Утверждение: автомобильный транспорт в общем быстрее, чем велосипеды. Это ни у кого не вызывает сомнения. От того, что кто-то не умеет водить машину, называть это утверждение лукавым это лукавство:)).
Очевидно, что это проблемы того, кто не умеет водить машину. В конце концов он может воспользоваться услугами профессионального водителя, если у него все так плохо.Так и здесь, Брессерс абсолютно прав. Никто никому ничего безопасным не сделает, если он сам этим не озаботится. Если пользователю ума не хватает, то ему можно дать любой софт и толку не будет. Для таких пользователей весь софт можно сказать проприетарный. Для них разницы открытые исходные тексты или закрытые никакой.
И все равно, открытые исходные тексты при прочих равных гарантируют большую безопасность. Даже если пользователь не разбирается в вопросе, то ему может достать ума воспользоваться услугами независимого специалиста, который в этом разбирается может порекомендовать, что стоит использовать, а что нет. Если не уверен, то можешь обратиться к нескольким.
Автор немного про другое, он подразумевает то, что некоторые открытые проекты тоже всеми силами стараются молча исправить уязвимости. Пример, ClamAv, в котором через неделю после очередного релиза находят по несколько опасных дыр. Разработчики о том, что это дыры прекрасно понимают, это видно по changelog-у, но пользователи свято полагают, что это очередной багфикс релиз и не торопятся обновляться, а на самом деле там молча исправлено несколько дыр. Взломщики имеют большие шансы найти дыру раньше, чем о ней заговорят в рассылках о безопасности. Похожая политика невыделения уязвимостей из общего потока ошибок свойственна и Linux ядру, но эту работу неплохо выполняют разработчики дистрибутивов, подтверждая озвученный Брессерсом тезис.
Опять же, эти _аффтары_ со школы не усвоили разницу между НЕОБХОДИМЫМ и ДОСТАТОЧНЫМ.
Если ЕСТЬ возможность, то это не означает что ВСЕ АВТОМАТИЧЕСКИ ЕЕ РЕАЛИЗУЮТ.
У FOSS софта ЕСТЬ ВОЗМОЖНОСТЬ проверить код. У проприетарного такой возможности НЕТ. Всякие нюансы когда возможность таки есть опустим. Они не для простых смертных.
>Всякие нюансы когда возможность таки есть опустим. Они не для простых
>смертных.Ну да, только жизнь-то и состоит из нюансов. :)
Правда, нюансы заставляют смотреть на реальный мир, где сама по себе наличие возможности, действительно, не всегда означает ее реализацию, и где надо не только гордиться, что код можно проверить, но и доверять проверяющим. А при росте величины кода проверка может оказаться все более формальной, и на выходе получим вместо брони - кольчугу, каждое звено которой крепко, но в сумме пробиваемую достаточно легко.
Но конечно, куда простым смертным до таких высей? ;) Лучше продолжать зомбировать народ рассказами, что "у вас закрытый софт - вы в зоне риска, а вот поставите открытый - и все, проблем можете не ждать" :)))
> открытые исходные тексты при прочих равных гарантируют большую безопасностьЛожь. Открытые тексты _позволяют_ иметь меньшие шансы на возникновение проблем, это да. Но сам факт того, что вместо только известно-какой-корпорации в сырцы смотрит весь мир не означает, что очередное "затыкание дыр" не приведет на конкретной инсталляции к проблемам.
А спецы... Как говорится, летчик от не летчика отличается тем, что способен поднять в воздух то, что летать способно. А хороший летчик от плохого - тем, что поднимает в воздух даже то, что летает плохо, либо к этому вовсе неспособно :)
Другой вопрос, сколько сил (денег, времени) уйдет на это. Но не все задачи решаются открытым софтом, вот засада! А порой создание аналогов закрытого софта из открытых компонентов может обойтись дороже и дольше собственно закрытого софта, и может оказаться менее стабильным в работе, что по факту "плюсов" решению не добавит.
Если мы, конечно, о реальной жизни, а не сферическом коне в вакууме :)
О чем _новом_ сказал автор _новости_?Повторил, действительно, старую мантру.
Только надо учесть, что несмотря на открытость и потенциальную возможность проверить код на ошибочность очень немногие пользователи способны это сделать. Тем более когда тот же RHEL всасывает _бинарное_ обновление, не все почему-то качают сначала diff изменений, и решают, стоит ли оно того.
А дырявее ли код закрытых продуктов - это не мерка, в конце концов в бизнесе есть и обратная точка зрения, что постоянно обновляемый софт (открытый или нет), каждое обновление которого несет хоть небольшую, но вероятность получить простой системы, не всегда менее рискован для бизнеса, чем система (неважно, опять же, с открытым или нет ПО), которая как пять лет назад настроена, так и выполняет свою работу как надо. Т.е. "работает - не трогай".
Примерно как "лучше поить человека отфильтрованной, чистой, кипяченой водой, чем постоянно делать операции, перекраивая его организм так, чтобы никакая дрянь из воды ему не повредила".
>Комментарий от автора новости: инженер по безопасности Red Hat немного лукавит, говоря о том, что ошибки в Open Source более заметны из-за самой природы открытого ПО.И где тут лукавство?
> И где тут лукавство?А с какой стати модель распространения и лицензирования ПО будет влиять на такие сугубо технические факторы, как прозрачность кода и легкость поиска и исправления ошибок? Это как бы ортогональные друг-другу вещи.
Вот есть два куска кода по 100к строк каждый. Первый свободно распространяется в исходниках второй же - закрытый. Известно, что в каждом куске кода есть как минимум 10ть ошибок. Вам нужно их найти. Вопрос: чем открытость или закрытость кода может Вам помочь в этом нелегком деле?
если есть такая задача, то открытый код можно просмотреть / просканить утилитами для поиска ошибок в исходном коде. А закрытый придется дизассемблить или еще как разбираться с бинарником.
Возьмём открытое ПО. Если продукт достаточно популярный, то и народу, прошерстивших код, будет больше. То есть для популярных продуктов преимущества вполне очевидны.