> Ну просвети, как список CVE влияет на битье памяти Не с той стороны яйца чистите. Полно яп где память бить в принципе не катит, но CVE все-равно остаются. А то что они малость фалломорфируют, заодно усугубившись "за меня подумает яп и рантайм" - ну да, и чего? Это чем-то лучше?
> Я отказываюсь от сишного софта - сишники перестают бить память. Власть, которая
> и не снилась.
Я совершенно не возражаю чтобы вы пошли в джепу и пользовались хоть софтом на электроне. А, стоп, даже там low level на плюсах. Да и кернел у вас на чем? Ну, валите на Redox? Будьте мужиком, хоть кто-то должен собачью еду жрать уже наконец? А то приперлись тут к сишникам, юзаете их софт нахаляву да еще вырубаетесь. Хамло какое.
> В пыхопитоне нет переполнений, но есть уязвимости, поэтому сишники будут переполнять.
Да там большинство взломов вообще на переполнения не полагается. Скорее какой-нибудь ремотный инклюд, эвал, отсутствие проверки данных. Последнее, впрочем, примерно из той же области что и буфера, те же яйца, вид в профиль - прогеру впадлу лишние проверки кодить или он лажанулся.
> Я отказываюсь от сишного софта - сишники перестают бить память. Власть, которая и не снилась.
Обещаю не скучать от вашего отсутствия.
> В том, что мой отказ не избавит сишные проги от битья памяти
Ну, напишите свой вариант судо, на чем вам там удобно. Может им даже кто-то пользоваться будет. А мы посмотрим насколько это все безопасТнее получится и помогут ли вам ваши ляхи. Не, на понт это не берется, кукуйте. Только делом доказать.
> Ссылку на сравнительный анализ в студию
Любой список CVE. Там вообще большая часть дыр вебня, которую на сях все же довольно редко делают, что ни говори.
> Ссылку на доказательство невозможности построения систем без битья памяти в студию
Это какое-то очень превратное понимание. Изначально - проблема в невозможности полного анализа одной программы другой с определенным вердиктом. Поэтому вердикт о том безопасна ли та или иная программа вам не видать как своих ушей. Есть некоторые нюансы и частности, но в целом вроде бы вот так.
> Раст дерьмо, ты разве не в курсе?
В нем есть некоторые здравые идеи. Которые и сишникам бы стоило спереть, пожалуй. А у них самих имхо лекарство хуже болезни получилось. А так - чего там еще для системного програмизма можно придумать? Игогошечку? Блин, про него хипстеры с фуксией в этом качестве так красиво напалмом жгли.
> Или не может? Ссылку на исследования в студию
Это вытекает из доказательства Тюринга о невозможности одной программы анализировать другую и вынести вердикт. Вы запрашиваете именно это по смыслу. Иногда в каких-то частностях возможно попытаться красиво смухлевать, как растаманы с borrow checker'ом, однако теоретические основы его работы - вообще где? А у других тупой подход с mandatory проверками везде и всюду и что еще прикольнее - вытекающей заменой гамна на какашки. У какого-нибудь питона например статического анализа считай что нет, поэтому валится все прямо в рантайм. И если для суды это в принципе сойдет еще (и то хрен его знает что хакеры придумают для извлечения профита) то вот когда это бортовой комп на полпути к марсу сделает, в лучшем случае подгузники менять придется. В хучшем в межпланетном пространстве прибавится несколько мумий.
>> Практически для си статический анализ развит получше чем для многих други
> Я рад, кончено. Спасает от битья памяти то уже или нет?
При желании - да. Еще можно с asan билдить. Этот то ловит все замечательно, прямо в рантайм, как явы какие-нибудь. Ну и скорость в пару раз профакается, конечно.
Те кто поумнее, типа линукскернела, это даже запилили. В продакшне они конечно это не включают, тем более что если кернель в эксепшн по собственному багу уйдет это тоже не прикольно ни разу, но при fuzzing'е syzkaller'ом - оно таки очень кстати.
> В пыхопитоне нет переполнений, но есть уязвимости, поэтому сишники будут переполнять.
А пыхопитонерам на CVE скидки, или чего?
> Легко и просто бьем память
Не ошибается тот кто ничего не делает.
> Ну я же просил объективные
Для вас объективнее всего имхо пистолет с 1 патроном.
> Ну то есть способов нет получается?
Для вообще совсем перфекционистов - только пистолет с 1 патроном. Остальным - узнать про статические анализаторы, valgrind и asan/ubsan. При желании последние можно оставить - если просадка скорости пофиг, и секурити перевешивает это соображение. Просто большинство юзерей не хочет видите ли платить за секурити снижением скорости. Если так делать они с гомном замешивают. Так то win95 в эпоху захвата мира и на асме не брезговало писать. Академики шипели на это месиво. Юзеры сказали shut up and take my money. Академики с перфекционизмом пошли в ж...у, а озолотился пройдоха Гейтс. Что поделать, этот мир работает вот так.
