The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Выпуск криптографической библиотеки OpenSSL 3.0.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск криптографической библиотеки OpenSSL 3.0.0"  +/
Сообщение от opennews (??), 08-Сен-21, 11:32 
После трёх лет разработки и 19 тестовых выпусков состоялся  релиз библиотеки OpenSSL 3.0.0 с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. Новая ветка включает изменения,  нарушающие обратную совместимость на уровне API и ABI, но изменения не повлияют на работу большинства приложений, для перевода которых с OpenSSL 1.1.1 достаточно пересборки.  Поддержка прошлой ветки OpenSSL 1.1.1 будет осуществляться до сентября 2023 года...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55760

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

5. Сообщение от ИмяХ (?), 08-Сен-21, 12:09   –14 +/
>>Ранее применявшаяся собственная лицензия OpenSSL была основана на тексте устаревшей лицензии Apache 1.0 и требовала явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта. Подобные требования делали старую лицензию несовместимой с GPL, что создавало трудности при использовании OpenSSL в проектах с лицензией GPL. Для обхода данной несовместимости GPL-проекты вынуждены были применять специфичные лицензионные соглашения, в которых основной текст GPL дополнялся пунктом, явно разрешающим связывание приложения с библиотекой OpenSSL и упоминающим, что требования GPL не распространяется на связывание с OpenSSL

Яркий пример того, показывающий, что надо гнать поганой метлой всяких юристуток, которые дpoчят на всякие лицензии и портят жизнь нормальным пацанам. Открыл код - значит позволил пользоваться им другим, вот и всё. А юристутки понапридумывали всякие лицензии, только мозги всем ибyд.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

6. Сообщение от Тот_Самый_Анонимус (?), 08-Сен-21, 12:11   –13 +/
>Для обхода данной несовместимости GPL-проекты вынуждены были применять специфичные лицензионные соглашения, в которых основной текст GPL дополнялся пунктом, явно разрешающим связывание приложения с библиотекой OpenSSL и упоминающим, что требования GPL не распространяется на связывание с OpenSSL.

Это не проблема других лицензий же, так ведь, гпльщики?
Когда гпл ворует код из апача и нет возможности вернуть его обратно из-за паразитности гпл, то вы говорите что это проблема апача. Интересно что вы скажите про этот случай. Жду применения шаблона «это другое, понимать надо» и доказательств того, что стрелочка обратно не поворачивается.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #66, #67

7. Сообщение от Аноним (7), 08-Сен-21, 12:13   +/
Почему шифры ГОСТ не добавили?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #13, #29, #33

8. Сообщение от пох. (?), 08-Сен-21, 12:15   –6 +/
> Это не проблема других лицензий же, так ведь, гпльщики?

конечно проблема - мы создадим им массу грабель - вплоть до несобираемости нашим единственно-верным компилятором.

И да, очень интересно, а автора ssleay они спросили?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #73

10. Сообщение от Аноним (10), 08-Сен-21, 12:21   +5 +/
В лицензии Apache это by design. Если бы использующим эту лицензию это не нравилось, они взяли бы другую, но их, очевидно, всё устраивает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #57

11. Сообщение от Аноним (10), 08-Сен-21, 12:23   +1 +/
Были PR, зависти в бесконечном кругу "долго ждУТ ревью – ещё дольше ждут исправлений после review – GOTO 10" с экспоненциальным увеличением времени ожидания на каждой итерации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от suffix (ok), 08-Сен-21, 12:24   –3 +/
"QUIC is on our minds, but it will not be included in the OpenSSL 3.0 release."

Значит пока в топку, ждём дальше.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #28

13. Сообщение от Аноним (13), 08-Сен-21, 12:24   +4 +/
>В libcrypto реализована концепция подключаемых провайдеров, ... При помощи провайдеров можно добавлять собственные реализации алгоритмов для таких операций как шифрование, расшифровка, формирование ключей, вычисление MAC, создание и проверка цифровых подписей.

Если стрибогим кузнечикам надо, сами добавят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #44

14. Сообщение от Аноним (14), 08-Сен-21, 12:27   +2 +/
Теперь старым играм и эту либу подкладывать придётся. Ну, чо, не в первый раз.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

15. Сообщение от Аноним (13), 08-Сен-21, 12:29   +8 +/
https://ru.wikipedia.org/wiki/QUIC
Почему сетевой протокол должен быть добавлен в библиотеку криптографии?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

17. Сообщение от suffix (ok), 08-Сен-21, 12:41   +/
Читайте:

https://www.openssl.org/blog/blog/2020/02/17/QUIC-and-OpenSSL/

А почему жду ?

Потому что nginx заявили что в основную ветку добавят поддержку quic только когда подержка quic будет в openssl.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от Microsoft (?), 08-Сен-21, 14:11   –1 +/
Закрыть, запретить и сделать EEE этому ненужному ненужно.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (104), 08-Сен-21, 15:10   +1 +/
> Значит пока в топку, ждём дальше.

Не стоит. QUIC - это местечковый гугловый продукт, все, кто не гугл, используют его на свой страх и риск. Гугловцы допиливают его очень активно, и стандартизированные версии быстро устаревают. Поэтому, если нужен QUIC, кроме BoringSSL вариантов нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30, #61, #79

29. Сообщение от nmorozov (ok), 08-Сен-21, 15:14   +3 +/
Алгоритмы ГОСТ добавляются отдельным модулем. Кстати кроме указанного ченжлога в билиотеке есть заментное кол-во улучшений связанных именно с русской криптографией (ну и с китайской тоже)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #32, #53, #77

30. Сообщение от suffix (ok), 08-Сен-21, 15:17   +/
>  кроме BoringSSL вариантов нет.

Сейчас да, но через пару лет (год на пока openssl разродится и год пока nginx интегрирует)надеюсь все болячки протокола уже победят.

Так что я очень неспешно жду :)


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

31. Сообщение от Аноним (104), 08-Сен-21, 15:23   +7 +/
К тому времени гугловцы QUIC уже задепрекейтят и забросят, и сделают какой-нибудь FAST (HTTP/7) поверх DCCP :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Qwerty (??), 08-Сен-21, 15:38   +/
Шапочку из фольги уже можно сворачивать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #35, #43

33. Сообщение от Аноним (33), 08-Сен-21, 15:55   –1 +/
Потому что они небезопасны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #47

35. Сообщение от Аноним (13), 08-Сен-21, 16:01   +3 +/
Никогда не стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #48

40. Сообщение от Аноним (111), 08-Сен-21, 16:37   +/
Такая масштабная поломка API требует слоя совместимости со старыми программами. Чтобы можно было слинковать со слоем совместимости, который будет оборачивать новый API, и старые программы получили security-апдейты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

43. Сообщение от ryoken (ok), 08-Сен-21, 16:47   +/
Клетка Фарадея вроде получше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #46

44. Сообщение от Аноним (44), 08-Сен-21, 16:47   +3 +/
На AES лапу-то поднять стрёмно. Кушайте АНБшной криптографии, не обляпайтесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #91

46. Сообщение от Аноним (46), 08-Сен-21, 17:01   +/
Смотря сколько фольги есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от Аноним (7), 08-Сен-21, 17:32   +1 +/
Пруфов нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #49, #54

48. Сообщение от Аноним (48), 08-Сен-21, 17:38   +1 +/
Простите, ударение на каком слоге?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #76

49. Сообщение от Аноним (33), 08-Сен-21, 18:05   +/
Это криптография, солнышко, тут нужны пруфы что они безопасны. Нет алгоритма генерации сбоксов - нет пруфов. Нет пруфов - нет безопасности. Повторяю, они небезопасны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #52, #59, #120

50. Сообщение от Аноним (33), 08-Сен-21, 18:06   +/
Это что за игры которые либо нельзя пересобрать, либо не таскают с собой все библиотеки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

51. Сообщение от Аноним (33), 08-Сен-21, 18:08   –1 +/
Под старыми программами вы подразумеваете программы которые не развиваются (иначе у них бы не было проблем перейти на новую версию openssl). Но такие программы сами по себе не получают security-апдейты, зачем им апдейты openssl? Другими словами, они априори дырявое гнильё, версией openssl это не вылечить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #58

52. Сообщение от Аноним (52), 08-Сен-21, 18:09   +/
Алгоритм существует. "Получить у уполномоченной организации".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #71

53. Сообщение от Анон123амм (?), 08-Сен-21, 18:10   +3 +/
"русская криптография", "китайская криптография" -- какие ржачные термины)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #64

54. Сообщение от Анон123амм (?), 08-Сен-21, 18:13   –4 +/
это там где для с-бокса, который должен быть рандомным, удалось написать код который его генерит, причем код в 4 раза меньше самого с-бокса, БУГАГА очень "безопасное" шиврование да!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #60, #96

55. Сообщение от Аноним (55), 08-Сен-21, 18:21   –4 +/
Осуждаю за сломанный abi. Если до 23 года не придумают какой-нибудь враппер, который позволит работать десктопным приложениям без перекомпиляции, это будет фейл.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65, #75, #97

57. Сообщение от Тот_Самый_Анонимус (?), 08-Сен-21, 18:38   –1 +/
>В лицензии Apache это by design.

В приведённой мною цитате страдали именно гпльщики. Своими оценками поделились семеро, а мнение почему-то не высказали. Мне бы хотелось услышать их мнение почему «это другое», и почему они позасовывали языки кой-куда, вместо того, чтобы объяснить, почему такое возможно с божественной лицензией.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

58. Сообщение от Аноним (111), 08-Сен-21, 18:43   –1 +/
Весь софт - гнильё, недырявых программ и библиотек не бывает, включая openssl новейшей версии. Да и вообще valar morghulis, улавливаешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

59. Сообщение от Аноним (111), 08-Сен-21, 18:47   +1 +/
Вся симметричная криптография - это security through obscurity.
Вся ассиметричная основана на недоказанных предположениях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

60. Сообщение от Аноним (7), 08-Сен-21, 19:02   +2 +/
А теперь докажите, что это влияет на стойкость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #81

61. Сообщение от qwertyemail (??), 08-Сен-21, 19:35   –1 +/
Помниться где то читал, что это будующий http 3 или 4, сколько их там уже. Или я его с чем то путаю?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #62

62. Сообщение от suffix (ok), 08-Сен-21, 20:33   –1 +/
да,  http/3=quic
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Онаним (?), 08-Сен-21, 20:40   +/
Суверенная, я бы сказал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #68, #95

65. Сообщение от Онаним (?), 08-Сен-21, 20:42   +/
Перетопчутся на libssl1.1.dll
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

66. Сообщение от anonymous (??), 08-Сен-21, 20:42   +1 +/
Ты в курсе, что в мире софта GPLесть достойные библиотеки? Я тебе их перечислю: GnuTLS, Libgcrypt, Nettle. Выбирай какая больше нравится и подходит под твои задачи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #84

67. Сообщение от Аноним (67), 08-Сен-21, 21:10   –2 +/
Ничего ты не понимаешь. Это другое. Когда используют код ГПЛ и не раскрывают свой - это воровство. А когда ГПЛ использует чужой код делая непозволительные собственной лицензией действия - это щедрость. Так что раньше, когда проекты гпл использовали опенссл, это опенссл воровал код, но гпл своей доброй волей их прощал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #104

68. Сообщение от Аноним (68), 08-Сен-21, 21:24   +1 +/
Осветлённая батюшкой. Теперь криптография в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #119

69. Сообщение от Ilya Indigo (ok), 08-Сен-21, 21:53   +/
> Новая ветка включает изменения, нарушающие обратную совместимость на уровне API и ABI

Это реально ВСЁ что она содержит!

> но изменения не повлияют на работу большинства приложений, для перевода которых с OpenSSL 1.1.1 достаточно пересборки.

Ага!
https://build.opensuse.org/staging_workflows/openSUSE:Factory (зарегиться для OBS на SuSE нужно)
Staging:Gcc7 openssl-3
Там дохренища несобранных приложений (пока не соберётся (красный цвет) кол-во не собравшихся приложений будет не полным).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70, #129

70. Сообщение от Аноним (81), 08-Сен-21, 22:48   –5 +/
Попробуйте выкинуть доистрический компилятор для начала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #122, #131

71. Сообщение от Аноним (76), 08-Сен-21, 22:56   +2 +/
Под пописку о неразгашении гостайны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

73. Сообщение от Аноним (73), 08-Сен-21, 23:00   +2 +/
> И да, очень интересно, а автора ssleay они спросили?

Спросили всех контрибуторов в OpenSSL, и это вообще-то многомесячный процесс был, ото всех ответы получить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

74. Сообщение от Andrey_Karpov (ok), 08-Сен-21, 23:02   +3 +/
Кто про что, а меня интересные баги интересуют. На этот раз приглянулось:

static int dh_cmp_parameters(const EVP_PKEY *a, const EVP_PKEY *b)
{
    return ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,
                               a->ameth != &ossl_dhx_asn1_meth);
}

Предупреждение PVS-Studio: V751 Parameter 'b' is not used inside function body. dh_ameth.c 312

Классика :) https://pvs-studio.com/ru/blog/posts/cpp/0509/

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78, #98

75. Сообщение от Аноним (76), 08-Сен-21, 23:02   +1 +/
Позволь поинтересоваться, ты в мире опенсорса или как? Неизменное ABI это для клозетсорщиков. Перекомпиляция при открытых исходниках это нормальное явление.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

76. Сообщение от Аноним (76), 08-Сен-21, 23:04   +/
В данном контексте, "не ст`оит".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

77. Сообщение от Аноним (73), 08-Сен-21, 23:14   +/
Кстати, китайскую, корейскую и японскую криптографию почему-то приняли в OpenSSL как внутренние алгоритмы с доступом через EVP API. А русскую криптографию единственную заставили переписать в виде ENGINE, механизм который вообще-то используется для подключения аппаратных шифроустройств. И использование алгоритмов через ENGINE естественно сложнее, чем просто через EVP API.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

78. Сообщение от пох. (?), 08-Сен-21, 23:22   +4 +/
>     return ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,

эпоха копипастеров :-( это вот насколько ж надо не уметь пользоваться клавиатурой, чтобы тут было быстрее (и неправильно) скопировать чем вручную набрать?

вряд ли такой ляп можно внести руками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

79. Сообщение от Всем Анонимам Аноним (?), 09-Сен-21, 00:23   –1 +/
Конечно, чего уж там, все основные CDN поддерживают (половина трафика интернет). Конечно, фигня...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

80. Сообщение от Аноним (80), 09-Сен-21, 01:02   –2 +/
Все так пока ты сам не написал кода или не решил на этом как-то заработать
Пока ты пиявка то все хорошоа, а как станешь донором, то заебешься с себя
сбрасывать этих нахлебников и я так думаю что ОпенСурс это просто код
который дороже моентихировать чем отдать просто так
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #83

81. Сообщение от Аноним (81), 09-Сен-21, 03:16   +2 +/
Я читал такое объяснение ситуации: некоторые варианты конфигурации могут быть слабее остальных. Никто не доказал, что выбранные значения слабые. Случайные же значения могут быть более слабыми, чем задумано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

83. Сообщение от WE (?), 09-Сен-21, 04:22   +1 +/
Чтобы опенсорщик писал хороший код - он должен быть голодный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #90

84. Сообщение от Тот_Самый_Анонимус (?), 09-Сен-21, 05:27   –1 +/
Как это оправдало страдания гпльщиков, вынужденных есть кактус, как в приведённой цитате? Дан конкретный пример, и вопрос был почему в этом случае страдания оправданы. Не как этого избежать, а почему это хорошо и «это другое».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #126

90. Сообщение от Аноним (90), 09-Сен-21, 11:53   +/
Ну ты и маньяк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #99

91. Сообщение от Аноним (90), 09-Сен-21, 11:57   –7 +/
Какое у вас бинарное мышление, "есть крипта не подчиняется товарищу майору, значит она АНБ-шное". По другому мыслить не умеете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #94, #103

94. Сообщение от Аноним (73), 09-Сен-21, 12:46   +5 +/
Это вам везде товарищи майоры мерещатся. А тут скорее ситуация, что есть нога кого надо нога, а есть нога людей второго сорта, их интересы как бы и не важны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

95. Сообщение от Аноним (13), 09-Сен-21, 13:18   –1 +/
Скрепная
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

96. Сообщение от Аноним (73), 09-Сен-21, 14:36   +3 +/
А в AES S-box тоже не рандомный, но никого это почему-то не беспокоит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #112

97. Сообщение от Аноним (33), 09-Сен-21, 14:38   –3 +/
Никаких врапперов не будет, и это правильно. И не вижу с чем у вас проблема - что за непонятное желание обновить OpenSSL не обновляя софт его использующий? Хотите сидеть на гнилье - сидите на гнилье. Хотите свежего - будет свежий софт со свежим OpenSSL. ABI надо чуть ли не специально ломать, чтобы усложнить жизнь таким вот некрофилам. А то вы же ещё и issue пишете со своими странными хотелками, время сообщества тратите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #100, #110, #121

98. Сообщение от Аноним (33), 09-Сен-21, 14:41   –3 +/
Это определяется как warning обычным компилятором, для этого проприетарный анализатор который рекламируют спамом и враньём, и который на деле недалеко ушёл от тех же варнингов, а до взрослых анализаторов типа cppcheck ему вообще как до китая раком, для этого не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #101, #123, #128

99. Сообщение от Michael Shigorinemail (ok), 09-Сен-21, 17:25   +1 +/
Вспомнились ребята с http://hungry.com -- вообще сытый музыкант или художник обычно тоже так себе... голодающий -- это уже тяжко, но так-то брюхо и впрямь энергию от головы оттягивает неслабо.

Ср.: "сытое брюхо к учению глухо".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

100. Сообщение от Аноним (111), 09-Сен-21, 17:57   +1 +/
Этот фанат Xiaomi/Huawei/Oppo/OnePlus/ZTE/realme порвался, уносите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

101. Сообщение от Аноним (73), 09-Сен-21, 18:42   +2 +/
Я сообщений про PVS-Studio за последние 12 месяцев видел, даже не помню сколько, но точно меньше 10 штук. Не тянет на спам.

Потока вранья от Андрея тоже не вижу.

И может потрудитесь дать ссылку на какое-нибудь сравнение анализаторов, которое доказывает, что "до взрослых анализаторов типа cppcheck ему вообще как до китая раком" ?

А то как-то балабольством попахивает, аж 3 раза.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #102

102. Сообщение от Аноним (33), 09-Сен-21, 21:47   +/
> Я сообщений про PVS-Studio за последние 12 месяцев видел, даже не помню сколько, но точно меньше 10 штук. Не тянет на спам.

Вы наверное профильных ресурсов вовсе не читаете. Так-то моя бабушка тоже не видела.

Ну ради интереса, посчитайте сколько Andrey2008 за последний год настрочил хотя бы на Хабре, удивитесь. Открою секрет - 43 статьи, всё о своей поделке. Это не считая LOR где у него уже 5-й, кажется, аккаунт, при том что предыдущие именно за спам и были забанены (например https://www.linux.org.ru/people/Andrey_Karpov_2009/profile) и других ресурсов. И это только один человек. Даже если бы они все заткнулись, им всё равно никогда не простят то что творилось несколько лет назад - паразитирование на СПО, попытки рекламироваться в чужом коде и совсем уж зашквар, откровенную спамную рассылку на email:

> Perhaps, it would be of interest to you, as a member of GitHub community,
> that there is now a possibility to use a free license for PVS-Studio.
>
> PVS-Studio is a powerful static source code analysis solution for bug
> detection in C, C++, and C# projects.  It works in Windows and Linux
> environment.

...
> Best regards, PVS-Studio team

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #105

103. Сообщение от Аноним (104), 09-Сен-21, 23:31   +/
>  Какое у вас бинарное мышление, "есть крипта не подчиняется товарищу майору, значит она АНБ-шное".

Докажите, что оно не АНБ-шное. В случае с зондами от товарища майора - доказательство тривиально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #111

104. Сообщение от Аноним (104), 09-Сен-21, 23:33   +1 +/
Вы так говорите, как будто это плохо. Хотя в bsd-like лицензиях черным по белому написано "используйте и унижайте меня как хотите, мне это нравится".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

105. Сообщение от Аноним (73), 10-Сен-21, 00:04   +1 +/
Спасибо за объяснение. Да, рассылка на спам пожалуй потянет. А на ЛОРе же вроде Андрей раньше спамил, а потом перестал, встал на путь исправления так сказать? Или нет, просто не очень слежу? А публикации на Хабре где были, на своём канале? Если да, то все коммерческие компании свои каналы на Хабре и других площадках как раз для саморекламы и используют, это обычная практика, я бы не назвал это спамом если Хабр не пихает те статьи в ленту всё время.

А про враньё Андрея и низкий уровень PVS-Studio относительно cppcheck и других есть что-то? Как-то хочется верить в хорошее в людях.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #117

109. Сообщение от Аноним (110), 10-Сен-21, 10:22   –1 +/
>> Реализован полноценный клиент для протоколов HTTP и HTTPS, поддерживающий методы GET и POST

Кто-то может объяснить что это и зачем? А метод PUT и другие?

Ответить | Правка | Наверх | Cообщить модератору

110. Сообщение от Аноним (110), 10-Сен-21, 10:23   +/
Проблема в том, что некоторый софт обновится, а некоторый нет. А DLL hell никак не решается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

111. Сообщение от Аноним (111), 10-Сен-21, 10:54   +/
> В случае с зондами от товарища майора - доказательство тривиально.

Что-то вроде Бритвы Мицгола, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

112. Сообщение от Аноним (111), 10-Сен-21, 10:55   +/
AES S-box сделан в соответствии с принципом "У меня в рукаве ничего нет".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #114

113. Сообщение от mumu (ok), 10-Сен-21, 11:35   +2 +/
> Реализован полноценный клиент для протоколов HTTP и HTTPS, поддерживающий методы GET и POST

Ой. Мелькание в заголовках с очередной найденной дырой в реализации этого клиента в ближайшие пять лет им обеспечено. План был именно в этом?

Ответить | Правка | Наверх | Cообщить модератору

114. Сообщение от Аноним (73), 10-Сен-21, 12:53   +1 +/
Все так про свои алгоритмы говорят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

117. Сообщение от Аноним (33), 10-Сен-21, 15:56   –2 +/
Залогинься, Андрей. Уж лучше оправдывайся чем из-под анонима себя пытаться выгородить, выглядит как детский сад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

119. Сообщение от Michael Shigorinemail (ok), 11-Сен-21, 12:56   +2 +/
Мне вот интересно -- ляпающие подобное вообще хоть в чём-то _для себя_ разобрались или слепо верят во всё, что в книжке (или на лопате), а чтоб как-то вроде бы как самооправдаться -- пытаются остро шютить?..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

120. Сообщение от Michael Shigorinemail (ok), 11-Сен-21, 12:58   +/
> Это криптография, солнышко, тут нужны пруфы что они безопасны.

Вы готовы принимать такие доказательства на веру? (что неспособны их проверить -- и так вижу)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

121. Сообщение от Michael Shigorinemail (ok), 11-Сен-21, 13:08   +/
> что за непонятное желание обновить OpenSSL не обновляя софт его использующий?

Деточка, я ж возьму сейчас и напишу Вашему работодателю, из сети которого Вы в рабочее время пишете, что пациент профнепригоден и даже сам этого не понимает -- конкретно от крипто (и в целом сколь-нибудь значимых данных) и долгоиграющего кода (и сколь-нибудь важных систем) его стоит держать подальше.

Потому что один дятел, пущенный со своей установкой "всё ломать, так будет лучше" -- способен натворить немалых бед целой команде нормальных людей, если не поймать на горячем и не выпороть.

Может, сперва хоть про Даннинга-Крюгера почитаете?  А то и попытаетесь понять, что _всё_, благодаря чему вообще существуете -- построено взрослыми людьми с ровно противоположным намерением: чтоб работало, а не чтоб "обмазаться свежим"?..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

122. Сообщение от Michael Shigorinemail (ok), 11-Сен-21, 13:10   +/
> Попробуйте выкинуть доистрический компилятор для начала.

Деточка, опять же с этим сперва к своему работодателю (можно непосредственному начальнику) -- для начала посмотрев версию gcc в каком-нить centos7.  Вот _там_ -- нет, не доисторическая, а по меркам эксплуатационщиков всего лишь почти вчерашняя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #124

123. Сообщение от Michael Shigorinemail (ok), 11-Сен-21, 13:13   +/
> а до взрослых анализаторов типа cppcheck

Деточка, сообщить миру "хочу на мороз" можно проще и прямее.

И да, всякому хамству есть мера.  Тем более, повторюсь, прям в рабочее время из AS208722.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

124. Сообщение от Аноним (81), 11-Сен-21, 13:25   –2 +/
Это не отменяет того, что актуальный софт зачастую не поддерживается доисторическими компиляторами и в лучшем случае кое-как собирается. А вот хамить не обязательно, я тоже могу тебе поводить кое-чем по губам, да вот тебе не понравится, ага?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #125

125. Сообщение от Michael Shigorinemail (ok), 11-Сен-21, 14:06   +/
*sigh*

Написал.

PS: в смысле в яндекс написал, посоветовавшись со старым приятелем вдобавок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

126. Сообщение от anonymous (??), 11-Сен-21, 20:57   +/
Люди, которые ценят свою свободу и чистоту кода не буду пользоваться лицензиями отличными от GPL. Ответ достаточный?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

128. Сообщение от Andrey_Karpov (ok), 13-Сен-21, 11:49   +/
> Это определяется как warning обычным компилятором

Хочется внести ясность. Судя по комментариям многие подумали, что анализатор PVS-Studio предупреждает про неиспользуемый аргумент функции. Это не совсем так. Вернее, это так, но анализатор действует более умно, чем большинство линтеров или компиляторов.

Просто ругаться на неиспользуемые аргументы - плохая идея. Будет очень много ложных срабатываний, и именно поэтому многие программисты не смотрят (отключают) эти предупреждения компиляторов/анализаторов.

В анализаторе реализуется некая эмпирическая "магия". PVS-Studio опирается на то, что есть однотипные аргументы, и при этом некоторые из них не используются, в то время как некоторые используются несколько раз. При этом действует ещё ряд дополнительных исключений из правила. Например, диагностика не сработает, если число неиспользуемых аргументов больше двух.

Всё это позволяет диагностике V751 выдавать мало ложных срабатываний, что выгодно отличает инструмент от аналогов - https://pvs-studio.com/ru/blog/posts/0802/ . Собственно, при разработке PVS-Studio не реализуются правила, если невозможно их сделать лучше, чем у компиляторов. Благодаря описанной диагностике, удаётся находить вот такие интересные ошибки - https://pvs-studio.com/ru/blog/examples/v751/ .

P.S. В анализаторе PVS-Studio есть и "тупой" вариант этой диагностики - V2537 - https://pvs-studio.com/ru/docs/warnings/v2537/ . Она разработана для проверки соответствия кода программы стандарту MISRA C и MISRA C++. Но это особенный случай, и по умолчанию эта диагностика отключена, как и все остальные диагностики, относящиеся к MISRA.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

129. Сообщение от mikhailnov (ok), 15-Сен-21, 16:33   +/
А вот в LibreSSL такой фигни нет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

130. Сообщение от Аноним (131), 05-Дек-21, 11:32   +/
CPU: AMD Ryzen 4600H
Тест: https://openwrt.org/docs/guide-user/perf_and_log/benchmark.o...
Выводы: AES-192 и AES-256 ускорились в 6 раз благодаря переходу на OpenSSL версии 3.0.0.

Итог: откатил до версии 1.1.1l, так как у минимум десятка программ  ломается компиляции из-за ошибок, которые "Deprecaced in OpenSSL >=3.0.0".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

131. Сообщение от Аноним (131), 05-Дек-21, 11:43   +/
gcc-10, Gentoo.
В системе порядка 2700 программ. Из них порядка 130 - требуют openssl.
Переход на версию 3.0.0 был остановлен после достижения 15-ти пакетов, сборка которых обломалась с сообщением "Deprecated in version >= 3.0.0".
Так что версия 3+ ещё не готова к повсеместному внедрению не потому, что OpenSSL 3.0.0 такой кривой-косой или компилятор тупой, а потому что некоторые прикладные программы завязаны на особенности ветки OpenSSL версии 1.1.1. Т.е. без переделывания самих прикладных программ забуксуем на ветке 1.1.1.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

132. Сообщение от Аноним (131), 05-Дек-21, 17:29   +/
с AES-128 та же история - примерно в 6 раз ускорилась операция.

Как я понял - в ветке 3.0.0+ задействованы оптимизации под фичи новых процессоров. Именно поэтому операции расчёта AES так ускорились.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру