forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анализ зависимости безопасности кода от используемого языка ..."
Отправлено Ordu, 21-Дек-20 17:24

> Эта rовностатистика трещит по всем швам:
Ты на себя-то глянь, да?
> 1. НЕ ТОЛЬКО язык влияет на секурность, но корреляция конечно же есть. Примерно процентов на 30.
> 2. Безопасность - это больше про людей - те самые 70%. Очевидно, что если анализировать FOSS-проекты, то и аудитория там соответствующая - энтузазисты разного пошиба.
Откуда ты взял корреляцию в 30%? Из головы выдумал? Покажи, что ты мерял и как ты считал, или балабол. Они хотя б какую-то методику измерений разработали, и хрен с ними с числами, но сами по себе списки распространённых проблем свойственных тому или иному языку весьма любопытны.
> 3. Без статистики по реально профессиональному коду, говорить о языках вообще незачем. Вот если среди профи посмотреть "секурность кода" - тогда да, можно поговорить о языке и насколько хорошо он помогает прогеру избегать проблем.
Что такое "реально профессиональный код", где его можно найти, и как его можно создавать? Предполагая, что ты можешь ответить на этот вопрос, я делаю вывод, что "реально профессиональный код" не существует, никто его не разрабатывает, потому что в любой команде есть пара стажёров/джуниоров, потому что сеньоры слакают, пропуская баги в релизы... Да и вообще, не существует двух одинаковых кодобаз, не существует двух одинаковых команд -- как можно игнорировать эти неустранимые различия, сравнивая языки?
К их исследованию, у меня лично, другие претензии -- там вместо статьи, описывающей методику измерений, какой-то набитый жабаскриптом сайт. Очень красиво и впечатляюще, брызги смузи летят во все стороны, но он без 3rd-party скриптов сайт полунерабочий, а то что работает -- сплошной маркетинговый буллшит, а не описание методики измерений. Статистика же (любая статистика!) -- бессмыслица, в отрыве от методики её получения. Судя по 130k исследованных проектов, данные были получены автоматически. Статическим анализатором? Пример проблемы в студию? Мне скажем очень интересно, что это за CRLF проблемы в java, было бы интересно примерчик. Или что значит "проблемы с менеджментом буферов" в C++? Переполнение буфера идёт отдельной статьёй, а что там ещё может пойти не так? underflow? Ошибки в адресной арифметике? Забыли выделить новый блок памяти под буфер или освободить старый? Но, если что-то из этого, почему это собрано в отдельную категорию с буферами, если адресная арифметика -- это адресная арифметика, а выделение/освобождение памяти -- это управление памятью? То есть это что-то иное? Что именно? Вопросов возникает тьма, а найти ответы на них не представляется возможным.
Всё это исследование -- маркетинговый буллшит. Отделу продаж не выйти за плановые показатели. Вот они и нарисовали красивую цветастую табличку, и стали делать громкие заявления. И опеннет с гиканьем и воем рванулся помогать маркетологам создавать много шума из ничего. Хорошо хоть опеннет в своём корыте инкапсулирован, и шум здесь никак не помогает маркетологам.
Я даже могу подсказать тебе эвристику, как отличать совсем уж буллшит от всего остального: если исследование не буллшит, то к нему должна прилагаться в самом очевидном месте ссылка на pdf, в котором есть ответы на все вопросы к исследованию, которые ты можешь измыслить. Читать pdf не обязательно, достаточно открыть и посмотреть, есть ли там ответы на твои вопросы. Вникать в ответы тоже кстати не обязательно, достаточно посмотреть на их наличие. Это очень грубая эвристика, но она применяется элементарно меньше чем за минуту, и она позволяет отсеять очень много информационного шума.
Если у тебя верхнее образование есть, и, соответственно, ты представляешь себе структуру научной статьи о проведённом исследовании, то обрати внимание на соблюдение этой структуры, чтобы там было введение (вводящее в контекст, в котором исследование проводится), глава посвящённая related works может отсутствовать (это подозрительно, но не критично), должно быть чётко расписано как данные были получены, и как они были обработаны. Плюс должен быть раздел типа discussion, в котором немного балабольства на тему, какие выводы из этого исследования можно сделать, или как это исследование можно улучшить, дополнить другим исследованием, и тп. Если ничего этого нет, то либо исследование целенаправленно пытается ввести тебя в заблуждение, либо оно было проведено дилетантом, который не имеет ни образования в теме проведения исследований, ни опыта проведений этих самых исследований.

Исходное сообщение
"Анализ зависимости безопасности кода от используемого языка ..." Отправлено Ordu, 21-Дек-20 17:24
> Эта rовностатистика трещит по всем швам: Ты на себя-то глянь, да? > 1. НЕ ТОЛЬКО язык влияет на секурность, но корреляция конечно же есть. Примерно процентов на 30. > 2. Безопасность - это больше про людей - те самые 70%. Очевидно, что если анализировать FOSS-проекты, то и аудитория там соответствующая - энтузазисты разного пошиба. Откуда ты взял корреляцию в 30%? Из головы выдумал? Покажи, что ты мерял и как ты считал, или балабол. Они хотя б какую-то методику измерений разработали, и хрен с ними с числами, но сами по себе списки распространённых проблем свойственных тому или иному языку весьма любопытны. > 3. Без статистики по реально профессиональному коду, говорить о языках вообще незачем. Вот если среди профи посмотреть "секурность кода" - тогда да, можно поговорить о языке и насколько хорошо он помогает прогеру избегать проблем. Что такое "реально профессиональный код", где его можно найти, и как его можно создавать? Предполагая, что ты можешь ответить на этот вопрос, я делаю вывод, что "реально профессиональный код" не существует, никто его не разрабатывает, потому что в любой команде есть пара стажёров/джуниоров, потому что сеньоры слакают, пропуская баги в релизы... Да и вообще, не существует двух одинаковых кодобаз, не существует двух одинаковых команд -- как можно игнорировать эти неустранимые различия, сравнивая языки? К их исследованию, у меня лично, другие претензии -- там вместо статьи, описывающей методику измерений, какой-то набитый жабаскриптом сайт. Очень красиво и впечатляюще, брызги смузи летят во все стороны, но он без 3rd-party скриптов сайт полунерабочий, а то что работает -- сплошной маркетинговый буллшит, а не описание методики измерений. Статистика же (любая статистика!) -- бессмыслица, в отрыве от методики её получения. Судя по 130k исследованных проектов, данные были получены автоматически. Статическим анализатором? Пример проблемы в студию? Мне скажем очень интересно, что это за CRLF проблемы в java, было бы интересно примерчик. Или что значит "проблемы с менеджментом буферов" в C++? Переполнение буфера идёт отдельной статьёй, а что там ещё может пойти не так? underflow? Ошибки в адресной арифметике? Забыли выделить новый блок памяти под буфер или освободить старый? Но, если что-то из этого, почему это собрано в отдельную категорию с буферами, если адресная арифметика -- это адресная арифметика, а выделение/освобождение памяти -- это управление памятью? То есть это что-то иное? Что именно? Вопросов возникает тьма, а найти ответы на них не представляется возможным. Всё это исследование -- маркетинговый буллшит. Отделу продаж не выйти за плановые показатели. Вот они и нарисовали красивую цветастую табличку, и стали делать громкие заявления. И опеннет с гиканьем и воем рванулся помогать маркетологам создавать много шума из ничего. Хорошо хоть опеннет в своём корыте инкапсулирован, и шум здесь никак не помогает маркетологам. Я даже могу подсказать тебе эвристику, как отличать совсем уж буллшит от всего остального: если исследование не буллшит, то к нему должна прилагаться в самом очевидном месте ссылка на pdf, в котором есть ответы на все вопросы к исследованию, которые ты можешь измыслить. Читать pdf не обязательно, достаточно открыть и посмотреть, есть ли там ответы на твои вопросы. Вникать в ответы тоже кстати не обязательно, достаточно посмотреть на их наличие. Это очень грубая эвристика, но она применяется элементарно меньше чем за минуту, и она позволяет отсеять очень много информационного шума. Если у тебя верхнее образование есть, и, соответственно, ты представляешь себе структуру научной статьи о проведённом исследовании, то обрати внимание на соблюдение этой структуры, чтобы там было введение (вводящее в контекст, в котором исследование проводится), глава посвящённая related works может отсутствовать (это подозрительно, но не критично), должно быть чётко расписано как данные были получены, и как они были обработаны. Плюс должен быть раздел типа discussion, в котором немного балабольства на тему, какие выводы из этого исследования можно сделать, или как это исследование можно улучшить, дополнить другим исследованием, и тп. Если ничего этого нет, то либо исследование целенаправленно пытается ввести тебя в заблуждение, либо оно было проведено дилетантом, который не имеет ни образования в теме проведения исследований, ни опыта проведений этих самых исследований.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру