Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"75% коммерческих приложений включают устаревший открыты..."	+/–
Сообщение от opennews (??), 13-Май-20, 22:14
Компания Synopsys проанализировала 1253  коммерческих кодовых баз и пришла к выводу, что почти все (99%) рассмотренные коммерческие приложения включает как минимум один компонент с открытым исходным кодом, а 70% кода в рассмотренных репозиториях является открытым. Для сравнения в аналогичном исследовании 2015 года доля открытого кода составляла 36%... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52945
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Май-20, 22:14	+29 +/–
Вот тебе и дурное "работает - не тронь", а потом используются годами протухшие либы с древними эксплойтами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #49, #52, #56

2. Сообщение от Аноним (2), 13-Май-20, 22:21	+10 +/–
Наверное, чукча не читатель, но как они проанализировали код закрытых проектов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11, #34, #80

4. Сообщение от user90 (?), 13-Май-20, 22:26	+3 +/–
А уж в том, что хомячье впендюривает на свои ведроиды!!! О, это просто жЫр! Нет уж, я с обычным кнопочным, уже 5 лет ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (2), 13-Май-20, 22:29	+9 +/–
До этого ходил с дисковым?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #10, #18

7. Сообщение от GG (ok), 13-Май-20, 22:35	+10 +/–
За деньги. Им за это платят и довольно хорошо платят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от user90 (?), 13-Май-20, 22:35	+4 +/–
С древним ведроидом. Чо ж ты хочешь, моментально прозреть дано не каждому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 13-Май-20, 22:38	+1 +/–
Не может быть. И да, очень часто они слинкованы статически. Или там старая версия апи, устаревшая 20 лет назад и подмена файла на новый ни к чему хорошему не приведёт (даже при доступе к коду). Обновлять? Пфф, да кому это надо. За это пользователи платить не будут, им подавай новый сплашскрин. Вот это открытия в 2020 году.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

10. Сообщение от Dzen Python (ok), 13-Май-20, 22:40	+3 +/–
Радиорелейкой "Алтай"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #22, #44

11. Сообщение от Аноним (11), 13-Май-20, 22:40	+5 +/–
Synopsys развивает платные сервисы для проверки и тестирования кода, данные из которых и использованы в статистике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

12. Сообщение от Аноним (12), 13-Май-20, 22:52	–4 +/–
"..Поэтому нужно срочно удалить атавсюду УСТАРЕВШИЙ код!!!111"   С Уважением,   Юный Смузихлёб.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

13. Сообщение от анончик (?), 13-Май-20, 22:55	+3 +/–
всего-то 75%? я недавно в последней версии одного очень популярного у фотографов приложения нашёл ruby 2.2. написал в поддержку, а они такие "это вам повезло, что мы 1.8 недавно выкинули"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

14. Сообщение от Аноним (14), 13-Май-20, 23:09	–4 +/–
Я так понимаю, что речь идёт о коммерческих приложениях предоставляемых клиенту/конечному потребителю? Внутренний софт для внутреннего использования должен по идее иметь гораздо более плачевные результаты по безопасности... > 93% всех проблем с лицензиями проявляются в сетевых и мобильных приложениях. В играх, системах виртуальной реальности, мультимедийных и развлекательных программах нарушения замечены в 59% случаев. Закономерно, что в мультимедиа нарушений меньше. Мультимедийные приложения страдают от дилеммы, как им распространять мультимедийный контент авторского производства вкупе с софтом одновременно. GPL в этом смысле вредная лицензия, которая лезет куда не надо. Подозреваю, что нарушений меньше потому что эта братия предпочитает не связываться c GPL при любой удобной возможности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

17. Сообщение от Аноним (17), 14-Май-20, 00:03	–1 +/–
Где Rust?, Вы что? (совсем уже:) ).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

18. Сообщение от Ordu (ok), 14-Май-20, 00:43	+/–
https://www.cnet.com/news/a-mobile-phone-with-a-rotary-dial-.../ http://www.justine-haupt.com/rotarycellphone/index.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #39

20. Сообщение от анонимуслинус (?), 14-Май-20, 01:22	–3 +/–
в том то и дело , что старый код работает хорошо в связке с другим таким же старым кодом для которого он писался, а если решил собрать пингвина с ужом , то потрудись выполнить проверку на совместимость)) часто вообще проблемы вырисовываются не в самих программах, а на их стыке, когда они открывают лазейки именно при работе друг с другом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (22), 14-Май-20, 01:51	+1 +/–
Так она, скорее всего, без всяких прошивок вообще была. Правда, и разговоры не шифровала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

23. Сообщение от Аноним (23), 14-Май-20, 01:51	+2 +/–
С Руби была история как с Питоном 2/3, т.е. для 1.8 существовала огромная экосистема, а когда в 1.9+ запилили VM еще несколько лет пакеты обновлялись. Нет ничего удивительного, что никто не хотел браться и разгребать клубок зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25, #29

24. Сообщение от Аноним (22), 14-Май-20, 01:52	+2 +/–
Да всё там же ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от Crazy Alex (ok), 14-Май-20, 02:28	+1 +/–
Потому что "модные молодёжные" вообще в каком-то своём мире живут. То ли дело скучные плюсы, заботящиеся о совместимости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #51

26. Сообщение от deeaitch (ok), 14-Май-20, 02:42	–2 +/–
Чего и следует ожидать от коммерческого ПО. Кроме как ... на палочке ничего не полчишь. Разве что кошелёк полегчает.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Страдивариус (?), 14-Май-20, 02:46	+3 +/–
Закономерное следствие "сейчас мы заинсталлимся в /opt с полным перечнем собственных версий share object'ов"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

28. Сообщение от Алконим (?), 14-Май-20, 03:11	–5 +/–
При анализе внутренних софтварь используемых исключительно во внутренних сетях были получены данные что они старые и давно не обновляются потому что работают стабильно и ресурсы на на разработку уже потрачены. Новость  не о чем.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от анончик (?), 14-Май-20, 03:20	+1 +/–
я в курсе про переход с 1.8 на 1.9. и то, что 1.9.1 и 1.9.2 были тоже не совместимы. но только это всё уже было почти 10 лет назад, а мы как раз говорим про "устаревший открытый код"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от qetuo (?), 14-Май-20, 03:32	–1 +/–
Дорогой неСмузихлёб, в софте постоянно находят и латают дыры. Ничто не пишется идеальным с первого раза. Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости. Если вам нравится пользоваться дуршлагом, пользуйтесь на здоровье, но не обвиняйте других в смузихлебстве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #31, #92

31. Сообщение от bergentroll (ok), 14-Май-20, 05:48	+2 +/–
Как будто смузи — это что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40

32. Сообщение от Карабьян (?), 14-Май-20, 06:01	+2 +/–
Если перечень есть, то еще не так уж плохо, чаше бещ него, ибо зачем это пользователю?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от КО (?), 14-Май-20, 06:02	+/–
Ну, это было предсказуемо...
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (34), 14-Май-20, 06:20	+/–
Копирайты в бинарниках остаются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #87

35. Сообщение от Аноним (35), 14-Май-20, 06:29	–2 +/–
Вот именно поэтому во всех приличных местах чтобы подключить опенсорсную библиотеку к проекту надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела, и, в некоторых случаях проводить патентное исследование. Потому что опенсорс дыряв и с ним связываться почти всегда себе дороже - за что в приличных местах за него дают по лицу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #61, #70, #79

36. Сообщение от Тот_Самый_Анонимус (?), 14-Май-20, 06:32	–2 +/–
Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.ru/openforum/vsluhforumID3/120621.html#18 >А в старых версиях coreboot байты прокисают? Пусть теперь думает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #68, #72

37. Сообщение от Тот_Самый_Анонимус (?), 14-Май-20, 06:34	–1 +/–
>надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела Это для якобы свободного гпл так надо. С апачем, бсд, илипубличным достоянием проблем нет. >в некоторых случаях проводить патентное исследование Ну это в совсем нецивилизованной сшашке только надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #38

38. Сообщение от Аноним (35), 14-Май-20, 06:40	+2 +/–
>Ну это в совсем нецивилизованной сшашке только надо Неа. Пишу из японской корпорации. Например, нам недавно по причинам патентов юр отдел запретил использовать opencv, полгода уже пилим с нуля свой велосипед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #46, #62

39. Сообщение от Аноним (34), 14-Май-20, 07:01	+/–
Зачем так далеко? Есть ссылка на наш любимый сайт https://www.opennet.ru/opennews/art.shtml?num=52396
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

40. Сообщение от коржик (?), 14-Май-20, 07:06	–1 +/–
старый код выкидывать сложно. Иногда просто для того, чтобы обновить библиотеку до свежего состояния нужно потратить человеконеделю. И то не факт что заработает. Иногда просто не знаешь к чему такое обновление приведёт. Вот и сидим на двух стульях
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #59

41. Сообщение от А.Н.Оним (?), 14-Май-20, 07:15	–4 +/–
Не ну, ребят. Я конечно понимаю что статистика очень интересная и в выводах наверняка всё тоже показательно... Вот только что это за выборка такая? 1253 приложения. Думается мне что на все эти миллиарды людей коммерческих приложений должно быть на несколько порядков больше. А если так -- статистика ни о чём. Плюс наверняка Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили. Так что цифры хоть и страшные, но абсолютно бесполезные. "Много кто юзает опенсорс библиотеки" -- то же мне новость. "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

42. Сообщение от Аноним (-), 14-Май-20, 07:48	–3 +/–
4. "Программа имеющая проприетарную лицензию некачествена!". Это будет пятым "Определением свободного программного обеспечения". 4 предыдущих, (от 0 до 3-х) проповедовал нам сам Великий Столлман. Воистину, воистину!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64

43. Сообщение от Аноним (43), 14-Май-20, 08:07	–4 +/–
75%не умеют финансов для опенсорца. Сжнчь.
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от YetAnotherOnanym (ok), 14-Май-20, 08:19	+1 +/–
*пустил скупую слезу*
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

45. Сообщение от Аноним (45), 14-Май-20, 08:24	+1 +/–
> Вот только что это за выборка такая? > Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили Ага, настоящие бизнесмены не сомневаются в своем идеальном коде, и в эту неправильную статистику не попадают. А то уж они бы показали немытому опенсорсу, как надо код писать! > "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость. А если и не забрасываются, зачем обновлять? Код закрытый, никто не видит, пипл хавает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #75

46. Сообщение от YetAnotherOnanym (ok), 14-Май-20, 08:26	+1 +/–
И как это поможет в ситуации, когда оптимальный метод найден до вас и запатентован? Причём, скорее всего, с формулировкой, допускающей максимально широкое толкование?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

47. Сообщение от Аноним (-), 14-Май-20, 08:38	+/–
Почему _это_ в разделе "Новости"? Разве это новость? Нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

48. Сообщение от Аноним (48), 14-Май-20, 09:01	–9 +/–
В реальном мире всё сложнее. Если в проекте найдется бодрый юноша, который будет всё обновлять без разбору, проблем не оберёшься. Иногда лучше потерпеть потенциальные уязвимости (кому ты нужен!) лишний годик, чем получать по голове от начальства и в режиме аврала ломать мозг над решением кучи свалившихся на тебя багов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #50, #58, #88

49. Сообщение от Твой Отец (?), 14-Май-20, 09:07	–9 +/–
А вы ссударь ратуете за содом и гоморру тысячи "цветов"? Эффективные манагеры (читай гуманитарии) жарят прогрессивную культуру написания софта, что бы по средствам новомодных обновлений заманить нас всех во все эти новомодные левацкие фреймворки которыми они управляют. Я вам простую вещь скажу, прогресс бывает плохой ,и хороший, всё зависит от того кто "девушку танцует". Проблема только в том, что леваки девушкой считают НАС!!! По этому я за опенсорс, всегда можно вычислить людей которые писали код, и с какой целью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

50. Сообщение от ryoken (ok), 14-Май-20, 09:36	+5 +/–
>> потерпеть потенциальные уязвимости (кому ты нужен!) Ботам инетовским всё равно. А кому-то именно ТЫ и нужен!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

51. Сообщение от Аноним (51), 14-Май-20, 09:41	+2 +/–
В плюсах заботиться об обратной совместимости жизненно важно, чтобы была хоть какая-то переиспользуемость бинарников, а не бесконечная многочасовая пересборка всей проги с 0, а-ля Gentoo. Из-за манглинга, разнящегося от компилятора к компилятору и кучи соглашений о вызове, а также национальных особенностей экспорта символов, что в Линуксе(SO), что в Винде(DLL), сломать ABI в плюсах ну очень просто. А если нужно сделать либу, которую можно юзать и из C, и из C++, то лучше вообще куда-нибудь в дистрибутив класть ридми о том, чем собирались либы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

52. Сообщение от mumu (ok), 14-Май-20, 09:42	+/–
Вообще в цивилизованных странах считается нормальным при закупке приложений спрашивать каких стандартов при разработке кода они придерживались. И не писать там соответствия хотя бы самого простого ISO 27k это уже моветон и хорошая заявка на просер тендера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #57

53. Сообщение от Аноним (53), 14-Май-20, 09:44	+/–
> Наиболее часто встречающейся опасной уязвимостью стала проблема CVE-2018-16487 (удалённое выполнение кода) в библиотеке lodash для Node.js Я на гитхаб загрузил обычный HTML-шаблон с минимум JS вместе с GULP сборкой, то мне тоже гитхаб сыпал предупреждения, что, мол, есть уязвимость в lodash. Я так и не понял чем это чревато для обычного темплейта и фиксить не стал. Вероятно, я тоже попал в эту статистику. Интересно, как много подобных случаев попали в эту статистику?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #66

54. Сообщение от Аноним (53), 14-Май-20, 09:45	+/–
Имеется ввиду когда уязвимость есть, но что-то выжать из неё "полезного" нельзя (или можно только я этого не знаю?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

55. Сообщение от ПрограммистУдалённыхВебТерминалов (?), 14-Май-20, 10:18	–1 +/–
Это они как GitHub просканировали package.json увидели старый lodash и давай поднимать тревогу? А что если я не использую уязвимые функции? Или не в браузере как описано в CVE? Или наоборот в браузере. Проблема со старыми багами и уязвимостями реальна, но цифры высосаны из пальца.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

56. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:25	+3 +/–
Дурное -- это применять бездумно.  Например, админский подход в разработке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #86

57. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:34	–5 +/–
Synopsis располагается в стране нецивилизованной -- написано же: Mountain View, CA.  Воспользовались бы привилегией жевать уже, что ли...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #74

58. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:35	+1 +/–
Думаю, это вопрос ответственности -- за что именно, особенно не тобою сделанное, берёшься отвечать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #77

59. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:39	+/–
Разумеется; и это хороший повод подружиться с апстримом и обеспечивать своими ресурсами в кооперации с ним поддержку LTS-веток: win-win.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

60. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:40	+/–
Тто-тто ffmpeg в каждом первом месте, где нужен...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

61. Сообщение от Аноним (89), 14-Май-20, 10:41	+1 +/–
эм. Разрешения и положительные заключения нужны, чтобы подключить и не обновлять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

62. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:43	+/–
>>>> патентное исследование >> Ну это в совсем нецивилизованной сшашке только надо > Неа. Пишу из японской корпорации. Ну это совсем то же.  В плане конкретно патентов на математику ;-) Свободу Окинаве!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #71

63. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:44	+/–
Рантайм фирмвари напомните?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

64. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:47	+/–
Вы вот приржать пытались, а качество обслуживаемости у закрытого софта и впрямь принципиально иное -- столкнётесь, поймёте.  Когда исходники _есть_ -- даже если ни разу не собирался туда лезть, это страховка на случай, когда полезть всё-таки придётся: самому ли, найдя ли специалиста.  Очень доходчиво, между прочим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #69

65. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:47	+/–
По сути -- нет, по конкретике -- очередная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

66. Сообщение от Michael Shigorin (ok), 14-Май-20, 10:49	+/–
> Вероятно, я тоже попал в эту статистику. Если Вы не платили Synopsis в бессознательном состоянии -- точно нет. По крайней мере напрямую. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

67. Сообщение от Аноним (67), 14-Май-20, 11:09	+/–
Всё ПО нынче выглядит, как тарелка со спагетти, и уязвимость в одной функции запросто может выстрелить в другой только за счёт используемого общего кода, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #73

68. Сообщение от Аноним84701 (ok), 14-Май-20, 11:28	+2 +/–
> Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.ru/openforum/vsluhforumID3/120621.html#18 >>А в старых версиях coreboot байты прокисают? Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем:  коммерческого закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?). К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому намного честнее заявить "мы не поддерживаем - ведь тот самый аноним не хочет присылать патчи или донатить", чем иметь список поддержки "для галочки". > Пусть теперь думает. Пусть аноним тоже попробует - авось понравится 🙄
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #84

69. Сообщение от Аноним (69), 14-Май-20, 11:34	+1 +/–
Ну да, специалист, обычно того же уровня квалификации, посмотрит на исходники которые _есть_ и скажет: говно, выкинуть, переписать всё заново. Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. Правда, сомневаюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #83

70. Сообщение от Gefest (?), 14-Май-20, 13:45	+/–
>получать разрешения и положительные заключения от техлидов Вот поэтому , берут опенсорсную библиотеку, выдирают копирайты, рефакторят переименовава пару классов и ctrl-c ctrl-v
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

71. Сообщение от Аноним (51), 14-Май-20, 13:48	+1 +/–
Вот честно, патенты на алгоритмы - это дичь и шиза, максимум это может быть коммерческой тайной, которую ты должен защищать своими силами (обфускация, например). Если кому-то хватило мозгов разреверсить - сам виноват, плохо спрятал. Техно-лобби в Америке совсем зажравшееся еще со времен Эдисона. В идеале, исследования, и матвыкладки всегда должны публиковаться как публичное достояние, а вот реализация - да хоть 33 проприетарных лицензии на нее накати, дело твое. У кого руки прямые и формулы читать и понимать умеет, тот код сам напишет, главное не будь мудаком и поделись математикой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

72. Сообщение от Аноним (72), 14-Май-20, 13:51	+/–
> >А в старых версиях coreboot байты прокисают? > Пусть теперь думает. А там закрытый код, что-ли? Ну очень ты дорожишь своей железкой, возьми, да сам портируй патч безопасности и собери. Или за деньги закажи патч. Это же отрытый продукт. Зачем бесплатно заниматься теми железками, которые почти никто не использует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

73. Сообщение от Аноним (51), 14-Май-20, 14:12	+/–
Эм, оно всегда будет так выглядеть, потому что реюзабилити стоит во главе угла у всех нормальных разрабов, которым впадлу плодить сущности. Нельзя придумать архитектуру, в которой будут "магические" модули, которые в себе так хитро спрячут нюансы реализации, что стрельнувший модуле произвольный заранее неизвестный косячок не выберется за его пределы. Только тесты и личная квалификация/квалификация команды при разработке, другого не дано, чтобы хотя бы процентов на 80% быть уверенным, что ПО достаточно качественное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

74. Сообщение от mumu (ok), 14-Май-20, 14:19	+/–
Synopsis вполне себе придерживается практик безопасной разработки по ISO и NIST. И они оказывают услуги по аудиту на соответствие стандартам безопасной разработки и архитектуры для тех, у кого нет своих собственных DevSecOps-ов. Что сказать-то хотели?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #82

75. Сообщение от Аноним (75), 14-Май-20, 14:25	–1 +/–
> А то уж они бы показали немытому опенсорсу, как надо код писать! Вспомнил 10 лет не закрытый dirty cow, через который опенсорсный кocтылинупc не имел только ленивый, пожал плечами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

77. Сообщение от Аноним (77), 14-Май-20, 15:30	+1 +/–
https://a.radikal.ru/a42/2005/0f/fe65d7a0f5a5.png
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

79. Сообщение от Аноним (79), 14-Май-20, 19:21	+1 +/–
100% согласен. OS это зло. Хотели как лучше получилось как всегда. Вместо обмена знаниями и идеями, это теперь социально-политический клуб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

80. Сообщение от yara (?), 14-Май-20, 20:10	+/–
Бинарники можно сканировать. Если есть бюджет - компилируем все релизные версии условных Х тыс. самых популярных открытих либ разными компиляторами, находим в них уникальные последовательности байтов, пишем Yara правила (Yara rules), и сканируем бинарники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

82. Сообщение от Michael Shigorin (ok), 15-Май-20, 00:09	–1 +/–
Что хотел -- то сказал.  Свидетелям "цивилизации" гопников -- не понять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

83. Сообщение от Michael Shigorin (ok), 15-Май-20, 00:12	+/–
> Ну да, специалист, обычно того же уровня квалификации, посмотрит > на исходники которые _есть_ и скажет: говно, выкинуть, переписать > всё заново. Это скорее национальная специфика, не стоит совсем уж обобщать. > Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. > Правда, сомневаюсь. Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь. В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда его наличие -- последний довод.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #85

84. Сообщение от Карабьян (?), 15-Май-20, 07:50	+/–
>[оверквотинг удален] > Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем:  коммерческого > закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не > затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?). > К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых > -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому > намного честнее заявить "мы не поддерживаем - ведь тот самый аноним > не хочет присылать патчи или донатить", чем иметь список поддержки "для > галочки". >> Пусть теперь думает. > Пусть аноним тоже попробует - авось понравится 🙄 Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. Патч тоже палка еще та: если он работает локально, зачем им делиться? Чтобы исправлять ошибки на чужих конфигурациях? И если работает сейчас, то  может не будет работать в будущем - а это кто-то еще кроме присылающего сможет починить? И опять массовость нужна: тогда исправление выгодно вносить, в одиночку - нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #90

85. Сообщение от Карабьян (?), 15-Май-20, 07:55	+/–
>> Ну да, специалист, обычно того же уровня квалификации, посмотрит >> на исходники которые _есть_ и скажет: говно, выкинуть, переписать >> всё заново. > Это скорее национальная специфика, не стоит совсем уж обобщать. То есть нация плохая? Программисты-нежоучки? А где профессионалы? >> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. >> Правда, сомневаюсь. > Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь. > В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда > его наличие -- последний довод. Кто-нибудь сталкивался? Как успехи? И как после таких вмещательств полет нормальный, обновления бинарные там?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

86. Сообщение от www2 (??), 15-Май-20, 09:24	+/–
Разверните мысль, пожалуйста. Что за "админский подход"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #89

87. Сообщение от КО (?), 15-Май-20, 09:50	+/–
Какие бинарники в Node.js?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

88. Сообщение от Имя (?), 15-Май-20, 11:12	+/–
>кому ты нужен! Это справедливо разве что на локалхосте, на предприятии 1) ты отвечаешь за организацию 2) у компании есть что украсть и них всяко больше денег чем у тебя
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

89. Сообщение от Аноним (89), 15-Май-20, 14:35	+/–
написано же "работает — не трогай" намек, что не надо чинить (менять настройки) то, что не сломано
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

90. Сообщение от Аноним84701 (ok), 15-Май-20, 16:43	+/–
> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. Да я не спорю.  Хотя если действительно нужно, то можно "кинуть клич", поискать единомышленников. Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами) за свои хотелки,  то наверное не стоит и ныть "вооот, взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #91

91. Сообщение от Карабьян (?), 15-Май-20, 16:53	+/–
>> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. > Да я не спорю.  Хотя если действительно нужно, то можно "кинуть > клич", поискать единомышленников. > Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами) > за свои хотелки,  то наверное не стоит и ныть "вооот, > взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать? Если было и как-то работало, то понятно возмущение, впрочем, право на форк тоже никто не отменял; да, действительно, не виду повода для спора
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

92. Сообщение от Аноним (92), 15-Май-20, 23:03	+/–
> Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости. Почему cмyзиxлёбы считают новейший код априори идеальным и безопасным? Пофиксишь пару неведомых теоретических уязвимостей в старом коде, который работал дохрена времени без проблем, добавишь 2 десятка новых, более модных-молодёжных. Только пока еще не обнаруженных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема