The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Оценка использования уязвимых открытых компонентов в коммерческом ПО

05.08.2021 12:28

Компания Osterman Research опубликовала результаты проверки использования открытых компонентов с неисправленными уязвимостями в готовом проприетарном программном обеспечении (COTS). В исследовании были изучены пять категорий приложений - web-браузеры, почтовые клиенты, программы для обмена файлами, мессенджеры и платформы для проведения online-встреч.

Результаты оказались плачевны - во всех изученных приложениях было выявлено использование открытого кода с неисправленными уязвимостями, а в 85% приложений уязвимости носили критический характер. Больше всего проблем было найдено в приложениях для проведения online-встреч и email-клиентах.

Что касается открытого кода, то в 30% из всех обнаруженных открытых компонентов была выявлена как минимум одна известная, но неисправленная уязвимость. Больше всего выявленных проблем (75.8%) было связано с использованием устаревших версий движка Firefox. На втором месте - openssl (9.6%), а на третьем - libav (8.3%).

В отчёте не детализируется число изученных приложений и какие именно продукты были исследованы. Тем не менее, в тексте есть упоминание, что критические проблемы были выявлены во всех приложениях кроме трёх, т.е выводы сделаны на основе анализа 20 приложений, что нельзя считать репрезентативной выборкой. Напомним, что в проведённом в июне похожем исследовании, был сделан вывод, что 79% встроенных в код сторонних библиотек никогда не обновляются и устаревший код библиотек становится причиной проблем с безопасностью.

  1. Главная ссылка к новости (https://venturebeat.com/2021/0...)
  2. OpenNews: 79% встроенных в код сторонних библиотек никогда не обновляются
  3. OpenNews: Анализ использования фрагментов уязвимых библиотек в исполняемом коде
  4. OpenNews: Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек
  5. OpenNews: Анализ использования ассемблерных вставок в коде открытых проектов
  6. OpenNews: Обратная сторона систем распространения приложений в обход дистрибутивов
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/55590-lib
Ключевые слова: lib, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:25, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А если бы все переписали на Go…
     
     
  • 2.2, Аноним (2), 12:27, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Оно бы поехало?
     
     
  • 3.4, OnTheEdge (ok), 12:30, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    если бы потом переписали на Rust, то за милую душу
     
     
  • 4.21, Плюсовик (?), 13:45, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как только вы к Rust приложите дешифратор, а то код похож на какой-то страшный шифр. Даже плюсы на его фоне прочей читать.
     
     
  • 5.25, Аноним (25), 14:26, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    весьма иронично слышать от чувака с погонялом "Плюсовик", в которых бывают такие речевые обороты, что можно обматерить вселенную

    ну ок, вот рандом код, что конкретно вызывает вопросы?

    use serde::{Serialize, Deserialize};

    #[derive(Serialize)]
    struct Point {
        x: i32,
        y: i32,
    }

    fn main() {
        let point = Point { x: 1, y: 2 };

        let serialized = serde_json::to_string(&point).unwrap();
        println!("serialized = {}", serialized);
    }

     
     
  • 6.28, Aukamo (ok), 15:12, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На Rust часто вместо Python пишу (utility), С++ такого не позволяет, документация и packet manager на голову выше. При чём это не шутка, Rust по сложности написания кода не сильно далеко от Python ушёл, в отличии от C++.
     
     
  • 7.29, Аноним (1), 15:15, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Все нормальные люди последние две тысячи лет пишут утилиты на Go. Go — безопасный и быстрый. Переходи на светлую сторону добра.
     
     
  • 8.31, Аноним (25), 15:28, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот у него синтаксис и языковые повороты и правда не очень приятные ... текст свёрнут, показать
     
  • 8.34, Aukamo (ok), 15:42, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вы не поняли, я не спор затеять пытался, я писал в поддрежку Rust и утверждал чт... текст свёрнут, показать
     
  • 8.101, Аноним (101), 13:31, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    когда дженерики завезут тогда и кукарекай про свой обмылок, растров язык богов ... текст свёрнут, показать
     
  • 6.39, Аноним (39), 16:37, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ключевое слово что в плюсах бывают. А в расте он весь такой
     
     
  • 7.61, Аноним (25), 21:39, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько времени товарищ эксперт программировал на Расте?
     
     
  • 8.72, нах.. (?), 23:10, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Даже пробовать не надо, вы уже кучи кода на нем наваяли и на гитхабы им сблевнул... текст свёрнут, показать
     
  • 6.51, Аноним (51), 19:42, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Наличие бесконечного количества скобочек, двоеточий, шарпов и амперсандов. И ооочень многословно для простой сериализации поинта, даже на плюсах можно короче. Взяли все худшее что было в плюсах и баше и добавили все что было худшего в хипстерах с их полумерами: у нас все безопасно, кроме здесь, здесь, здесь...и безопасно это значит что у нас петух не кукарекнет в полнолуние и встроенные чекеры и проверки в рантайме(которые и для плюсов есть, просто не встроенные), в общем вам все равно для написания кода придётся быть плюсовиком, только вместо хорошо написанного легаси придётся разбираться в коде студентов. Не то чтобы раст был худшим языком, но заявленного он не выполняет, на язык 2021 года не тянет, а менять шило на мыло особого смысла нет.
     
     
  • 7.63, Аноним (25), 22:04, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это какой-то троллинг Речь о необходимости даже для однострочного if В C тож... большой текст свёрнут, показать
     
     
  • 8.66, Аноним (66), 22:14, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, если не осилил сериализацию имея свободу выбора это не повод хвалить язык... текст свёрнут, показать
     
     
  • 9.80, Аноним (80), 23:34, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Код сериализации той структуры в json на C или C адекватнее короче в студию Т... большой текст свёрнут, показать
     
     
  • 10.89, Michael Shigorin (ok), 07:34, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Постарайтесь не применять слова, смысл которых не понимаете А которые понимает... большой текст свёрнут, показать
     
     
  • 11.93, Дождался когда до Шигорина дошло (?), 08:47, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дошло наконец, что крикливые плюсовики, гошники и джсники - не самые умные люди ... текст свёрнут, показать
     
  • 11.117, Аноним (25), 21:53, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, конечно, когда нечем ответить - придирайся к опечаткам, верной дорогой идёте... большой текст свёрнут, показать
     
  • 8.74, нах.. (?), 23:14, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У вас в ржавом последнее вычислившееся в функции возвращается, как почините п... текст свёрнут, показать
     
     
  • 9.84, Аноним (80), 05:05, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что ... текст свёрнут, показать
     
  • 9.109, freecoder (?), 12:23, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Просто поставь ... текст свёрнут, показать
     
  • 6.70, нах.. (?), 23:08, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    println! С восклийательным? Серьезно? Проходите во второю палату, все покусаные рубином там.
     
     
  • 7.83, Аноним (80), 05:05, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уровень: ыксперт с опеннетика

    Ну как же, печатать надо с восторгом, программировать с восторгом, радостью, счастьем

    Это макрос всего лишь
    НЕ_ТАК_ЖЕ_ПИСАТЬ_МАКРОСЫ_В_САМОМ_ДЕЛЕ

    https://doc.rust-lang.org/rust-by-example/hello/print.html

     
  • 6.107, lindevel (?), 22:50, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это максимально простой код из примера, пойди на GitHub и попробуй изучить код используемых тобою зависимостей, поймешь что такое рандомный код на Rust, хотя о чем это я, ты явно не пишешь на расте ничего кроме примеров, так что нет смысла изучать
     
     
  • 7.108, lindevel (?), 22:53, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот реальный код из serde(который ты использовал в своем примере), код конечно выбрал похуже, а не рандомный:
    #[macro_export]
    macro_rules! forward_to_deserialize_any_method {
        ($func:ident<$l:tt, $v:ident>($($arg:ident : $ty:ty),*)) => {
            #[inline]
            fn $func<$v>(self, $($arg: $ty,)* visitor: $v) -> $crate::__private::Result<$v::Value, Self::Error>
            where
                $v: $crate::de::Visitor<$l>,
            {
                $(
                    let _ = $arg;
                )*
                self.deserialize_any(visitor)
            }
        };
    }
     
     
  • 8.111, freecoder (?), 12:43, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты приводишь код макроса, а макросы в Rust имеют свой особый язык описания, кото... текст свёрнут, показать
     
  • 8.121, Big Robert TheTables (?), 12:54, 10/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это какой-то треш, честное слово разве что где-то с середины отдает немного пе... текст свёрнут, показать
     
     
  • 9.122, freecoder (?), 16:30, 10/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это макрос Как такой же макрос будет записываться в Perl или в Си ... текст свёрнут, показать
     
  • 7.110, freecoder (?), 12:27, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я часто читаю код зависимостей в своих проектах. Вообще, столько кода, сколько приходится читать на Rust, я не читал ни на одном другом языке. А почему приходится? Первое - из-за большого числа зависимостей и некоторой сырости экосистемы. Второе - зачастую читать код проще и понятнее, чем текстовую документацию (!). А вы мне тут заливаете, что код на Rust нечитаемый... Он страшно выглядит только на расстоянии, для людей, не знающих Rust. Когда опыт в Rust уже есть - все читается элементарно и просто.
     
     
  • 8.123, Big Robert TheTables (?), 13:59, 11/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    судя по вашему профилю вы ничего кроме раста и не читали ... текст свёрнут, показать
     
     
  • 9.124, freecoder (?), 19:01, 11/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По какому профилю Подозреваю, что если обо мне судить исключительно по профилю ... текст свёрнут, показать
     
  • 5.43, Аноньимъ (ok), 18:42, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Просто вместо попы попробуйте глазами смотреть, вот и весь дешифратор.
     
     
  • 6.75, нах.. (?), 23:19, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну допустим попробывал, как был код для инопланетян, так и остался.
     
     
  • 7.95, Аноньимъ (ok), 09:02, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Глаза на голове должны быть, иначе это не работает.
    Без шуток, что там такого непонятного непонятно.
     
     
  • 8.103, нах.. (?), 15:09, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ответ не читай, сразу пиши ... текст свёрнут, показать
     
  • 7.112, freecoder (?), 12:47, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я вам подскажу, как работает: сначала изучаете основы языка, синтаксис и семантику, а затем - читаете свободно любой код на этом языке.
     
  • 4.33, Аноним (39), 15:32, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сколько невероятного бреда в постах про раст. Расто ос уже так взлетела что с грохотом рухнула.

    Любое поделье на раст сводится к нерабочему выхову нормальных библиотек, потому что наркоши даже в вызов функций не могут.

    Эпические баги в самом расте, начиная от утечек и заканчивая крахами.

    Приятного аппетита: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust

    Но конечно наркоши скажут что это другое.

     
     
  • 5.49, Аноним (49), 18:52, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ага, если так определять то выходит что xml это самый дырявый язык в мире
     
     
  • 6.60, растовуман (?), 21:21, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    растовщики не делают различия между разметкой и кодом, потому что в их коде всё вместе намешано в растоборщ?
     
  • 5.64, Аноним (25), 22:08, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты серьезно? Начал с того, что столько бреда и внезапно решил сам дикой бредятины понаписывать?

    > Любое поделье на раст сводится к нерабочему выхову нормальных библиотек

    Дичь.

    > Расто ос уже так взлетела что с грохотом рухнула.

    Совсем дичь. Что за расто ос? Ты сам придумал, что она куда-то взлетала или не взлетала?

    Яркий пример высокоинтеллектуальных личностей, которые против Раста - лучшая реклама Раста, быть подальше от таких.

     
     
  • 6.67, Аноним (66), 22:18, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Эй уважаемый! Те сюда. А то про раст знаешь, а про растоось нет. Мы знаешь ли в русском языке прекрасно склоняем как названия, так и упоротых растаманов. А то заявляешь о себе как о программисте, а уже родной язык понимать перестал. Поди еще не смог осилить русификацию раста. Как лох на чужеродном языке строчишь когда уже давно доказано что это снижает эффективность на 30%. Ну в твоем случае это еще и мозги вырубает напрочь.

    https://www.redox-os.org/

     
     
  • 7.68, Аноним (25), 22:37, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я знаю про redox, но не понимаю, почему чисто фан-поделку тут всерьёз кто-то вспоминает как пример чего-то... а чего?

    Растама́ны — молодёжная субкультура, распространённая на постсоветском пространстве, связанная с музыкальным стилем регги

    Rustaceans are people who use Rust, contribute to Rust, or are interested in the development of Rust

    Не путай

     
  • 7.69, Аноним (25), 22:40, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Поди еще не смог осилить русификацию раста. Как лох на чужеродном языке строчишь когда уже давно доказано что это снижает эффективность на 30%

    Ты бухаешь в четверг?

     
  • 6.77, нах.. (?), 23:21, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Дичь

    Пруфы? Ааа ну да.. как всегда.

     
     
  • 7.85, Аноним (80), 05:06, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы с того, кто эту дичь озвучивают.
     
     
  • 8.104, нах.. (?), 15:11, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хватит вертеться и давай пруфы ... текст свёрнут, показать
     
  • 5.90, Michael Shigorin (ok), 07:35, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Начнём с того, что пост не про раст, про раст -- наброс.

    rm -rf?

     
  • 2.5, Аноним (5), 12:31, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    растоман сломался ?
     
     
  • 3.6, Аноним (25), 12:33, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    что за "растоман"?
     
     
  • 4.11, OnTheEdge (ok), 12:40, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    слущай, ты неместны штали? растамана ни знаищ? эта сабирательны образъ перфекциониста и популиста псевдаидеальнага языка руст
     
     
  • 5.14, Аноним (25), 12:59, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Бробробро, слуслуслу
    Нету некакова папулизма. Есь ток годный изык, который вызывает сучий восторг, особенно после C || C++. Есь жланье его использовать, хотя бы на новом проекте / новых модулях.
    Всё максимально прозаично
     
     
  • 6.23, Аноним (1), 13:59, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Всегда приятно услышать про самый лучший язык Go.
     
     
  • 7.53, InuYasha (??), 20:06, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О, сейчас Goпоники будут растаманов флудить. )
     
  • 6.81, Аноним (81), 00:25, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы "Love Is..." выпускала жевачку "Cringe Is...", то под номером 194 был бы вкладыш со словами "Слушать когда он/она пытается пародировать горский акцент"
     
  • 4.56, Аноним (-), 20:30, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Растаман-наркаман.
     
     
  • 5.88, Аноним (80), 05:12, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Любишь музыку и ширяться? По тебе видно)
     
  • 2.15, Аноним (25), 13:01, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ...то охренели бы от "производительности" ещё одного языка с gc
     

  • 1.3, OnTheEdge (ok), 12:28, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    конторам наподобие Osterman Research жизненно важно имитировать бурную деятельность
     
     
  • 2.20, Аноним (20), 13:21, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Osterman Research is a market research and consulting firm

    так ...

    > delivering insight on cybersecurity, data protection and information governance.

    лицензия?

     
     
  • 3.59, СеменСеменыч777 (?), 20:54, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > лицензия?

    уензия.
    представьте себе, что на этой планете еще есть места, где можно заниматься кибербезопасностью без лицензии, создавать СКЗИ без лицензии, провайдить интернеты без лицензии (и без СОРМ-2). в конце концов жить без лицензии.

     

  • 1.7, Самый Лучший Гусь (?), 12:34, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А я уже давным давно об этом предупреждал. Но такова жизнь.
     
  • 1.8, Аноним (25), 12:34, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > устаревших версий движка Firefox

    Ну и нечего сидеть на древности
    Яркое подтверждение

     
     
  • 2.9, Самый Лучший Гусь (?), 12:38, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    А вы скажите это миллиардам хомячков. Они без тёплого зонда от жоожле или другой фруктовой компании в известном месте принципиально неспособны следить за обновлениями.
     
     
  • 3.12, Аноним (25), 12:54, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На нормальных ос Firefox сам обновляется
     
     
  • 4.18, Аноним (2), 13:19, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Windows это плохая ОС, зачем вы обманываете людей?
     
  • 4.41, Kuromi (ok), 17:35, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я так понимаю тут идет речь о ФФ встроенном куда-то, а не о просто ФФ.
     
  • 4.52, Аноним (51), 19:44, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное в этой операционной системе сплошные иконки, это объясняет почему вы отвыкли читать
     
  • 3.71, Аноньимъ (ok), 23:08, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ненужно то что работает обновлять.
    Обновления каждый день, а скоро и час, это плохая практика.

    Меньше говнркода и упоротых протоколов нужно производить, всяких система-Д webrtc и прочей дичи, тогда ненужно будет каждый час что-то чинить.

     
  • 2.10, Total Anonimus (?), 12:40, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Напишите это на руборде - узнаете много новых речевых оборотов .
     
     
  • 3.13, Аноним (25), 12:56, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Там есть те, кто не понимает, что новое в большинстве случаев лучше?
    Особенноямкогда это касается браузеров, где важно получать все исправления безопасности?
    Со ссылкой на прямое доказательство?
     
     
  • 4.16, Total Anonimus (?), 13:05, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спрашивать о таком на той части すし , где сидящих на winXP больше чем на всей остальной планете ...
     
     
  • 5.22, ryoken (ok), 13:51, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> すし

    суши..? :D

     
  • 4.24, 1 (??), 14:16, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю, не знаю ...
    Новое в большинстве случаев ХУЖЕ !

    де мой любимый нетшкаф и интернет 1.0 ?

     
  • 4.73, Аноньимъ (ok), 23:12, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >что новое в большинстве случаев лучше?

    Что-то практика последних 15 лет показывает обратное.

    Или хотите сказать GTK4 лучше GTK2, а новый сенсорный гном лучше старого?

    Может быть у вас система-д лучше openrc?

     
  • 2.27, пох. (?), 15:08, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    недревность (правда, в лице гуглозонда) сегодня заявила что на форуме, принудительно редиректящим на https версию потому что так мы боремся с врагом в виде мегафона (продолжая носить ему деньги ежемесячно, а то сдохнет - нескем бороться будет) я не могу размещать картинки, подгружающиеся с немодного сайта - url начинающися с http без предупреждения пытаются открыть по https, а там, ну кто бы мог подумать, давно другой сервис.
     

  • 1.17, Аноним (-), 13:08, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Не удивительно, проприетарные говно-приложения всегда будут нести за собой устаревшие библиотеки и не использовать системные, никто же это не увидит.
     
     
  • 2.37, Аноним (-), 16:20, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Правда только проприетарные говно-приложения?
    https://www.mozilla.org/en-US/security/advisories/mfsa2021-28/#CVE-2021-29972
     
     
  • 3.42, Kuromi (ok), 17:39, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот это кстати причина почему Мозилла НЕ ЛЮБИТ брать в код сторонние библиотеки. Это и лицензионные вопросы.
    Тем не менее те либы что уже в коде обновляются достаточно регулярно, условный SQLite -практически сразу же после нового релиза. Менее заметные может и не так часто, но если НЕ обновлятся то обычно по какой-то серьзной причине, скажем "запатчили свою версию так сильно что уже не обновить без плясок с бубном", у них так с Chromium IPC вышло и malloc
     

  • 1.19, Аноним (19), 13:19, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    libav — это сдохший форк ffmpeg?
     
     
  • 2.54, Аноним (51), 20:18, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это вчерашний форк фффмпег
     
     
  • 3.58, Самый Лучший Гусь (?), 20:44, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то уже довольно несвежий.
     
     
  • 4.91, Michael Shigorin (ok), 07:38, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ...и довольно глупый изначально.
     
     
  • 5.102, Аноним (-), 14:19, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    уж куда ему до тебя
     

  • 1.26, Аноним (66), 14:58, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То есть LibreSSL таки торт. Зачем ее из Void Linux убирали решительно непонятно теперь.
     
     
  • 2.30, Аноним (1), 15:16, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Да потому что его надо переписать на Go.
     
     
  • 3.47, Аноним (66), 18:48, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и сравнить что быстрее. Мне пофиг, пусть хоть на раст перепишут, если останется версия на Си, то я бы предпочел версию на Си. Не придется 10 разных языков учиться читать.
     
     
  • 4.87, Аноним (80), 05:10, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > я бы предпочел версию на Си

    Хочется множить статистику?
    Это как без маски ходить

    > 10 разных языков

    Почему 10?

     
     
  • 5.96, Аноним (66), 09:28, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    10 это просто цифра с потолка Реально используемым будет вариант ни Си С пото... большой текст свёрнут, показать
     
  • 2.38, Аноним (-), 16:32, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В LibreSSL тоже регулярно исправляются уязвимости безопасности, не только общие с OpenSSL, но и собственные. Изучать весь опенсурс на предмет устаревших библиотек - замучаешься. Так что никакой LibreSSL не торт.
     
     
  • 3.45, Аноним (66), 18:47, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как же? Там меньше реализовано фич, которые далеко не всем нужны. И 3 года на Gentoo с LibreSSL это доказывают. Какое-то время там не было поддержки TLS 1.3, но после ее реализации я как-то не заметил значимых новшеств в OpenSSL почему используют чаще именно ее. И да, статистика очень сильно в пользу LibreSSL по поводу уязвимостей.
     

  • 1.32, Аноним (39), 15:30, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Естественно плачевными. Аналитика где?

    Всё потому что виндузятники неосиляторы не могут научиться пользоваться пакетными системами и пихают даже в linux свои криворукие поделья в виде флатошлаков исправно таская все баги используемых библиотек от версии к версии.

    Да здравствуют всякие неосиляторы вроде iPony и Fracta1L

     
     
  • 2.36, Нанобот (ok), 16:19, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Аналитика где?

    Аналитика прямо сейчас производится экспертами опеннета в комментариях к новости

     
  • 2.44, Аноньимъ (ok), 18:45, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Диппавлов, бросай белковых бипедов на аналитику разводить, сам учись аналитику делать.
     

  • 1.35, Ю.Т. (?), 16:07, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Почему такой странный перевод термина COTS? Речь именно о готовых изделиях, приспосабливаемых к задаче ("коммерческие с полки"), как противоположности заказных под задачу.
     
  • 1.40, Kuromi (ok), 17:34, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    "Больше всего выявленных проблем (75.8%) было связано с использованием устаревших версий движка Firefox."

    Простите, а кто и где сейчас использует "устаревшие версии движка ФФ" ? По моему Gecko-based браузеры помимо самого ФФ и ко вымерли как класс. Тор Браузер разве что, но они никогда не позиционировались как "сами по себе браузер".

     
     
  • 2.46, Аноньимъ (ok), 18:47, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    К тому моменту как вы сформируете выпуск своего ПО, фаерфокс уже две версии выпустит и фатально устареет.
     
     
  • 3.92, Michael Shigorin (ok), 07:40, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сказанное Kuromi было верно ещё задолго до гонки версий -- gtkmozembed угробили в ещё относительно "той" мозилле...  А так да, помним galeon и много чего другого хорошего, скорбим.
     
  • 2.48, Аноним (66), 18:50, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это статистика про рукожопых админов неспособных обновить ESR выпуски Firefox. Это не отражение реальной картины с уязвимостями. Конечно в проекте, где объем кода в 100 раз больше и уязвимостей в старом коде будет в разы больше. Но если грубо поделить на 100, то не так уж и много их всего на мегабайт кода.
     
     
  • 3.55, Аноним (51), 20:21, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Речь про либы, а не про сам фурифокс. Либы это скорее разработчики, а не админы.
     
  • 2.50, Аноним (50), 18:54, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И хромиума нет. Будто никто старый хромиум не использует.
     
     
  • 3.57, Аноним (57), 20:33, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А старым хромиумом невозможно пользоватся. Он при каждом чихе требует обновлений. Нажал не туда и обновился.
     
     
  • 4.65, Аноним (65), 22:12, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Значит вы не умеете его готовить. Недавно использовал node.js проект, у которого в зависимостях старый puppeteer со старым хромиумом. Ничего само по себе не обновляется в нем.
     

  • 1.76, Хан (?), 23:20, 05/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Такс... самый дырявый Firefox часть которого на расте, хммм... к чему бы это.
     
     
  • 2.79, Аноним (81), 23:31, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    К дождю
     
  • 2.82, мля (?), 00:33, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Трансгомопропаганда сделала своё дело)
     
  • 2.86, Аноним (80), 05:08, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В том-то и дело, что только часть, новые модули в основном
    Весь JS и много чего не на, к сожалению. Но понятно, что стоимость грамотного переписывания слишком высока, чтоб что-то менять
     
  • 2.94, Брат Анон (ok), 08:53, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Справедливости ради -- не Фарефокс. А его куски у рукожопых прямоходящих макак.
    И справедливости ради, написаны ли эти куски на Расте -- ничего не сказано. (* не исключено *)
     
  • 2.105, Аноним (105), 18:01, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Такс... самый дырявый Firefox часть которого на расте, хммм... к чему бы это.

    К тому, что у Мозиллы уже так всё плохо, что Раст не в помошь и Джей Эс - тоже.

     

  • 1.113, freecoder (?), 12:54, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, в проектах на Rust относительно легко обновлять зависимости: cargo сильно упрощает процесс и контроль со стороны компилятора облегчает рефакторинг, если после обновы что-то ломается.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру