Хороший ответ. Но:
> фирмварину с кучей дыр засунем. Зачем нам опенсорсная фирмвара, да? :)
Ошибка в подходе: любая проприетарная фирмварина=тайныеходы+кучадыр, любая опенсоурсная=трукод+неткучидыр
> Не говоря о том что делать чипы сцyкадорого и поэтому посадить там лишний баг - боятся как огня. Платить лимоны баксов за переделывание масок для фотолитографии желающих мало.
Если ошибка влияет на общую работоспособность - то да. Если ошибка влияет на работоспособность "хитрым" образом - не обазятельно.
И почему производитель обязательно должен переживать? Он просто предложит новую модель, где данная проблема давно решена.
> Поэтому с точки зрения анализа угроз - наиболее злободневны именно бэкдоры в прошивках.
И что мешает перехватить пакет до анализа пакета ядром? и/или запустить сторонний код параллельно основному?
> И судя по тому какие плюхи все чаще попадаются в проприетарных прошивках IMHO 2 мнений быть не может - польза очевидна.
Proof? Буду благодарен. Особенно, если там будет показано, что это касается вообще всех проприетарных прошивок.
А не отдельных, "особо одарённых" или "особо экономящих" восточных производителей.
> Вон новая ассоциация софта для банкоматов вокруг линя так появилась например. Не хотят они чтобы какой-то левый MS за них решал когда их железные ящики за дофигабаксов - "устарели". Ну а спрос рождает предложение.
Отлично. Только на стороне производителей сетевого железа массового объединения что-то не видать. Также есть сомнения, что эта ассоциация бесплатна и открыта.
> Удачи чипмейкерам в том чтобы помyдaчиться - как раз и чипы открытые появятся. Которые просто работают и делают ровно то, что заявлено.
Согласен. Но основные деньги делаются на массовом рынке, где работают немного другие законы.
Здесь китайский копеечный чип в больших сериях устройств десять раз победит многодолларовый навороченый и надёжный.
> Вообще, у некоторых есть очень превратное представление о том что в опенсорсе можно что-то там эффективно скупить.
Не обязательно скупить, достаточно профинансировать основных разработчиков
(RedHat vs Canonical)
> Ну как бы если тебя поймают на бэкдоре - это ж...а на всю жизнь
А почему это должен быть коммит основного разработчика? А рядовые в основном известны по никам и e-mail-ам.
Да и чтото я сильно сомневаюсь, чтобы каждый добавленный патч хотя бы просто разбирается во всех for-ах и regex-ах.
Тем более, что обновление открытого софта идёт такими темпами, что "мама не горюй".
Кстати, чем не "планируемое устаревание"? (э-э.. прошу не накидываться: systemd?)
> А системы контроля версий типа git, кстати, делают процесс достаточно прозрачным
> ...
> Но ... покажите мне методики дающие более хороший результат?!
Э-э.. ещё раз: а чем это лучше/хуже проприетарной разработки?
Там тоже, при правильной организации, каждый разработчик видит кто и что сделал.
А пользователь как в первом, так и во втором случае не в состоянии единолично верифицировать все критичные части кода, если только он этот код не разрабатывал.
И поэтому может только выбрать: кому он больше доверяет.
Microsoft, по-моему, тоже предоставляет исходные коды нашему государству. И что? Это что-то меняет?
> см. выше про грязь и мыться
ну, для началa надо понимать,
что ежедневное мытьё рук не отменяет мытьё фруктов перед едой, а также проблему выбора правильного мыла :-)
Да и вообще, проблема ли это?