The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"75% коммерческих приложений включают устаревший открыты..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"75% коммерческих приложений включают устаревший открыты..."  +/
Сообщение от opennews (??), 13-Май-20, 22:14 
Компания Synopsys проанализировала 1253  коммерческих кодовых баз и пришла к выводу, что почти все (99%) рассмотренные коммерческие приложения включает как минимум один компонент с открытым исходным кодом, а 70% кода в рассмотренных репозиториях является открытым. Для сравнения в аналогичном исследовании 2015 года доля открытого кода составляла 36%...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52945

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Май-20, 22:14   +29 +/
Вот тебе и дурное "работает - не тронь", а потом используются годами протухшие либы с древними эксплойтами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #49, #52, #56

2. Сообщение от Аноним (2), 13-Май-20, 22:21   +10 +/
Наверное, чукча не читатель, но как они проанализировали код закрытых проектов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11, #34, #80

4. Сообщение от user90 (?), 13-Май-20, 22:26   +3 +/
А уж в том, что хомячье впендюривает на свои ведроиды!!! О, это просто жЫр! Нет уж, я с обычным кнопочным, уже 5 лет ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (2), 13-Май-20, 22:29   +9 +/
До этого ходил с дисковым?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #10, #18

7. Сообщение от GG (ok), 13-Май-20, 22:35   +10 +/
За деньги.
Им за это платят и довольно хорошо платят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

8. Сообщение от user90 (?), 13-Май-20, 22:35   +4 +/
С древним ведроидом. Чо ж ты хочешь, моментально прозреть дано не каждому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 13-Май-20, 22:38   +1 +/
Не может быть. И да, очень часто они слинкованы статически. Или там старая версия апи, устаревшая 20 лет назад и подмена файла на новый ни к чему хорошему не приведёт (даже при доступе к коду). Обновлять? Пфф, да кому это надо. За это пользователи платить не будут, им подавай новый сплашскрин. Вот это открытия в 2020 году.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

10. Сообщение от Dzen Python (ok), 13-Май-20, 22:40   +3 +/
Радиорелейкой "Алтай"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #22, #44

11. Сообщение от Аноним (11), 13-Май-20, 22:40   +5 +/
Synopsys развивает платные сервисы для проверки и тестирования кода, данные из которых и использованы в статистике.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

12. Сообщение от Аноним (12), 13-Май-20, 22:52   –4 +/
"..Поэтому нужно срочно удалить атавсюду УСТАРЕВШИЙ код!!!111"

  С Уважением,
  Юный Смузихлёб.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

13. Сообщение от анончик (?), 13-Май-20, 22:55   +3 +/
всего-то 75%? я недавно в последней версии одного очень популярного у фотографов приложения нашёл ruby 2.2. написал в поддержку, а они такие "это вам повезло, что мы 1.8 недавно выкинули"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

14. Сообщение от Аноним (14), 13-Май-20, 23:09   –4 +/
Я так понимаю, что речь идёт о коммерческих приложениях предоставляемых клиенту/конечному потребителю? Внутренний софт для внутреннего использования должен по идее иметь гораздо более плачевные результаты по безопасности...

> 93% всех проблем с лицензиями проявляются в сетевых и мобильных приложениях. В играх, системах виртуальной реальности, мультимедийных и развлекательных программах нарушения замечены в 59% случаев.

Закономерно, что в мультимедиа нарушений меньше. Мультимедийные приложения страдают от дилеммы, как им распространять мультимедийный контент авторского производства вкупе с софтом одновременно. GPL в этом смысле вредная лицензия, которая лезет куда не надо. Подозреваю, что нарушений меньше потому что эта братия предпочитает не связываться c GPL при любой удобной возможности.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

17. Сообщение от Аноним (17), 14-Май-20, 00:03   –1 +/
Где Rust?, Вы что? (совсем уже:) ).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

18. Сообщение от Ordu (ok), 14-Май-20, 00:43   +/
https://www.cnet.com/news/a-mobile-phone-with-a-rotary-dial-.../

http://www.justine-haupt.com/rotarycellphone/index.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #39

20. Сообщение от анонимуслинус (?), 14-Май-20, 01:22   –3 +/
в том то и дело , что старый код работает хорошо в связке с другим таким же старым кодом для которого он писался, а если решил собрать пингвина с ужом , то потрудись выполнить проверку на совместимость)) часто вообще проблемы вырисовываются не в самих программах, а на их стыке, когда они открывают лазейки именно при работе друг с другом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (22), 14-Май-20, 01:51   +1 +/
Так она, скорее всего, без всяких прошивок вообще была. Правда, и разговоры не шифровала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

23. Сообщение от Аноним (23), 14-Май-20, 01:51   +2 +/
С Руби была история как с Питоном 2/3, т.е. для 1.8 существовала огромная экосистема, а когда в 1.9+ запилили VM еще несколько лет пакеты обновлялись.
Нет ничего удивительного, что никто не хотел браться и разгребать клубок зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25, #29

24. Сообщение от Аноним (22), 14-Май-20, 01:52   +2 +/
Да всё там же ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от Crazy Alex (ok), 14-Май-20, 02:28   +1 +/
Потому что "модные молодёжные" вообще в каком-то своём мире живут. То ли дело скучные плюсы, заботящиеся о совместимости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #51

26. Сообщение от deeaitch (ok), 14-Май-20, 02:42   –2 +/
Чего и следует ожидать от коммерческого ПО. Кроме как ... на палочке ничего не полчишь. Разве что кошелёк полегчает.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Страдивариус (?), 14-Май-20, 02:46   +3 +/
Закономерное следствие "сейчас мы заинсталлимся в /opt с полным перечнем собственных версий share object'ов"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

28. Сообщение от Алконим (?), 14-Май-20, 03:11   –5 +/
При анализе внутренних софтварь используемых исключительно во внутренних сетях были получены данные что они старые и давно не обновляются потому что работают стабильно и ресурсы на на разработку уже потрачены. Новость  не о чем.
Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от анончик (?), 14-Май-20, 03:20   +1 +/
я в курсе про переход с 1.8 на 1.9. и то, что 1.9.1 и 1.9.2 были тоже не совместимы.

но только это всё уже было почти 10 лет назад, а мы как раз говорим про "устаревший открытый код"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от qetuo (?), 14-Май-20, 03:32   –1 +/
Дорогой неСмузихлёб, в софте постоянно находят и латают дыры. Ничто не пишется идеальным с первого раза. Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости. Если вам нравится пользоваться дуршлагом, пользуйтесь на здоровье, но не обвиняйте других в смузихлебстве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #31, #92

31. Сообщение от bergentroll (ok), 14-Май-20, 05:48   +2 +/
Как будто смузи — это что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40

32. Сообщение от Карабьян (?), 14-Май-20, 06:01   +2 +/
Если перечень есть, то еще не так уж плохо, чаше бещ него, ибо зачем это пользователю?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от КО (?), 14-Май-20, 06:02   +/
Ну, это было предсказуемо...
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (34), 14-Май-20, 06:20   +/
Копирайты в бинарниках остаются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #87

35. Сообщение от Аноним (35), 14-Май-20, 06:29   –2 +/
Вот именно поэтому во всех приличных местах чтобы подключить опенсорсную библиотеку к проекту надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела, и, в некоторых случаях проводить патентное исследование.

Потому что опенсорс дыряв и с ним связываться почти всегда себе дороже - за что в приличных местах за него дают по лицу.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #61, #70, #79

36. Сообщение от Тот_Самый_Анонимус (?), 14-Май-20, 06:32   –2 +/
Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.ru/openforum/vsluhforumID3/120621.html#18

>А в старых версиях coreboot байты прокисают?

Пусть теперь думает.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63, #68, #72

37. Сообщение от Тот_Самый_Анонимус (?), 14-Май-20, 06:34   –1 +/
>надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела

Это для якобы свободного гпл так надо. С апачем, бсд, илипубличным достоянием проблем нет.

>в некоторых случаях проводить патентное исследование

Ну это в совсем нецивилизованной сшашке только надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #38

38. Сообщение от Аноним (35), 14-Май-20, 06:40   +2 +/
>Ну это в совсем нецивилизованной сшашке только надо

Неа. Пишу из японской корпорации. Например, нам недавно по причинам патентов юр отдел запретил использовать opencv, полгода уже пилим с нуля свой велосипед.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #46, #62

39. Сообщение от Аноним (34), 14-Май-20, 07:01   +/
Зачем так далеко? Есть ссылка на наш любимый сайт https://www.opennet.ru/opennews/art.shtml?num=52396
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

40. Сообщение от коржик (?), 14-Май-20, 07:06   –1 +/
старый код выкидывать сложно. Иногда просто для того, чтобы обновить библиотеку до свежего состояния нужно потратить человеконеделю.

И то не факт что заработает. Иногда просто не знаешь к чему такое обновление приведёт. Вот и сидим на двух стульях

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #59

41. Сообщение от А.Н.Оним (?), 14-Май-20, 07:15   –4 +/
Не ну, ребят. Я конечно понимаю что статистика очень интересная и в выводах наверняка всё тоже показательно... Вот только что это за выборка такая? 1253 приложения. Думается мне что на все эти миллиарды людей коммерческих приложений должно быть на несколько порядков больше. А если так -- статистика ни о чём.

Плюс наверняка Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили.

Так что цифры хоть и страшные, но абсолютно бесполезные.

"Много кто юзает опенсорс библиотеки" -- то же мне новость.
"Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

42. Сообщение от Аноним (-), 14-Май-20, 07:48   –3 +/
4. "Программа имеющая проприетарную лицензию некачествена!". Это будет пятым "Определением свободного программного обеспечения".

4 предыдущих, (от 0 до 3-х) проповедовал нам сам Великий Столлман.

Воистину, воистину!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64

43. Сообщение от Аноним (43), 14-Май-20, 08:07   –4 +/
75%не умеют финансов для опенсорца. Сжнчь.
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от YetAnotherOnanym (ok), 14-Май-20, 08:19   +1 +/
*пустил скупую слезу*
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

45. Сообщение от Аноним (45), 14-Май-20, 08:24   +1 +/
> Вот только что это за выборка такая?
> Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили

Ага, настоящие бизнесмены не сомневаются в своем идеальном коде, и в эту неправильную статистику не попадают. А то уж они бы показали немытому опенсорсу, как надо код писать!

> "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.

А если и не забрасываются, зачем обновлять? Код закрытый, никто не видит, пипл хавает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #75

46. Сообщение от YetAnotherOnanym (ok), 14-Май-20, 08:26   +1 +/
И как это поможет в ситуации, когда оптимальный метод найден до вас и запатентован? Причём, скорее всего, с формулировкой, допускающей максимально широкое толкование?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

47. Сообщение от Аноним (-), 14-Май-20, 08:38   +/
Почему _это_ в разделе "Новости"?
Разве это новость? Нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65

48. Сообщение от Аноним (48), 14-Май-20, 09:01   –9 +/
В реальном мире всё сложнее. Если в проекте найдется бодрый юноша, который будет всё обновлять без разбору, проблем не оберёшься. Иногда лучше потерпеть потенциальные уязвимости (кому ты нужен!) лишний годик, чем получать по голове от начальства и в режиме аврала ломать мозг над решением кучи свалившихся на тебя багов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #50, #58, #88

49. Сообщение от Твой Отец (?), 14-Май-20, 09:07   –9 +/
А вы ссударь ратуете за содом и гоморру тысячи "цветов"? Эффективные манагеры (читай гуманитарии) жарят прогрессивную культуру написания софта, что бы по средствам новомодных обновлений заманить нас всех во все эти новомодные левацкие фреймворки которыми они управляют. Я вам простую вещь скажу, прогресс бывает плохой ,и хороший, всё зависит от того кто "девушку танцует". Проблема только в том, что леваки девушкой считают НАС!!!
По этому я за опенсорс, всегда можно вычислить людей которые писали код, и с какой целью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

50. Сообщение от ryoken (ok), 14-Май-20, 09:36   +5 +/
>> потерпеть потенциальные уязвимости (кому ты нужен!)

Ботам инетовским всё равно. А кому-то именно ТЫ и нужен!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

51. Сообщение от Аноним (51), 14-Май-20, 09:41   +2 +/
В плюсах заботиться об обратной совместимости жизненно важно, чтобы была хоть какая-то переиспользуемость бинарников, а не бесконечная многочасовая пересборка всей проги с 0, а-ля Gentoo. Из-за манглинга, разнящегося от компилятора к компилятору и кучи соглашений о вызове, а также национальных особенностей экспорта символов, что в Линуксе(SO), что в Винде(DLL), сломать ABI в плюсах ну очень просто. А если нужно сделать либу, которую можно юзать и из C, и из C++, то лучше вообще куда-нибудь в дистрибутив класть ридми о том, чем собирались либы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

52. Сообщение от mumu (ok), 14-Май-20, 09:42   +/
Вообще в цивилизованных странах считается нормальным при закупке приложений спрашивать каких стандартов при разработке кода они придерживались. И не писать там соответствия хотя бы самого простого ISO 27k это уже моветон и хорошая заявка на просер тендера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #57

53. Сообщение от Аноним (53), 14-Май-20, 09:44   +/
> Наиболее часто встречающейся опасной уязвимостью стала проблема CVE-2018-16487 (удалённое выполнение кода) в библиотеке lodash для Node.js

Я на гитхаб загрузил обычный HTML-шаблон с минимум JS вместе с GULP сборкой, то мне тоже гитхаб сыпал предупреждения, что, мол, есть уязвимость в lodash. Я так и не понял чем это чревато для обычного темплейта и фиксить не стал. Вероятно, я тоже попал в эту статистику. Интересно, как много подобных случаев попали в эту статистику?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #66

54. Сообщение от Аноним (53), 14-Май-20, 09:45   +/
Имеется ввиду когда уязвимость есть, но что-то выжать из неё "полезного" нельзя (или можно только я этого не знаю?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

55. Сообщение от ПрограммистУдалённыхВебТерминалов (?), 14-Май-20, 10:18   –1 +/
Это они как GitHub просканировали package.json увидели старый lodash и давай поднимать тревогу? А что если я не использую уязвимые функции? Или не в браузере как описано в CVE? Или наоборот в браузере.

Проблема со старыми багами и уязвимостями реальна, но цифры высосаны из пальца.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #67

56. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:25   +3 +/
Дурное -- это применять бездумно.  Например, админский подход в разработке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #86

57. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:34   –5 +/
Synopsis располагается в стране нецивилизованной -- написано же: Mountain View, CA.  Воспользовались бы привилегией жевать уже, что ли...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #74

58. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:35   +1 +/
Думаю, это вопрос ответственности -- за что именно, особенно не тобою сделанное, берёшься отвечать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #77

59. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:39   +/
Разумеется; и это хороший повод подружиться с апстримом и обеспечивать своими ресурсами в кооперации с ним поддержку LTS-веток: win-win.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

60. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:40   +/
Тто-тто ffmpeg в каждом первом месте, где нужен...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

61. Сообщение от Аноним (89), 14-Май-20, 10:41   +1 +/
эм. Разрешения и положительные заключения нужны, чтобы подключить и не обновлять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

62. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:43   +/
>>>> патентное исследование
>> Ну это в совсем нецивилизованной сшашке только надо
> Неа. Пишу из японской корпорации.

Ну это совсем то же.  В плане конкретно патентов на математику ;-)

Свободу Окинаве!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #71

63. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:44   +/
Рантайм фирмвари напомните?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

64. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:47   +/
Вы вот приржать пытались, а качество обслуживаемости у закрытого софта и впрямь принципиально иное -- столкнётесь, поймёте.  Когда исходники _есть_ -- даже если ни разу не собирался туда лезть, это страховка на случай, когда полезть всё-таки придётся: самому ли, найдя ли специалиста.  Очень доходчиво, между прочим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #69

65. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:47   +/
По сути -- нет, по конкретике -- очередная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

66. Сообщение от Michael Shigorinemail (ok), 14-Май-20, 10:49   +/
> Вероятно, я тоже попал в эту статистику.

Если Вы не платили Synopsis в бессознательном состоянии -- точно нет.
По крайней мере напрямую. :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

67. Сообщение от Аноним (67), 14-Май-20, 11:09   +/
Всё ПО нынче выглядит, как тарелка со спагетти, и уязвимость в одной функции запросто может выстрелить в другой только за счёт используемого общего кода, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #73

68. Сообщение от Аноним84701 (ok), 14-Май-20, 11:28   +2 +/
> Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.ru/openforum/vsluhforumID3/120621.html#18
>>А в старых версиях coreboot байты прокисают?

Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем:  коммерческого закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).

К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому намного честнее заявить "мы не поддерживаем - ведь тот самый аноним не хочет присылать патчи или донатить", чем иметь список поддержки "для галочки".

> Пусть теперь думает.

Пусть аноним тоже попробует - авось понравится 🙄

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #84

69. Сообщение от Аноним (69), 14-Май-20, 11:34   +1 +/
Ну да, специалист, обычно того же уровня квалификации, посмотрит на исходники которые _есть_ и скажет: говно, выкинуть, переписать всё заново.
Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. Правда, сомневаюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #83

70. Сообщение от Gefest (?), 14-Май-20, 13:45   +/
>получать разрешения и положительные заключения от техлидов

Вот поэтому , берут опенсорсную библиотеку, выдирают копирайты, рефакторят переименовава пару классов и ctrl-c ctrl-v

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

71. Сообщение от Аноним (51), 14-Май-20, 13:48   +1 +/
Вот честно, патенты на алгоритмы - это дичь и шиза, максимум это может быть коммерческой тайной, которую ты должен защищать своими силами (обфускация, например). Если кому-то хватило мозгов разреверсить - сам виноват, плохо спрятал. Техно-лобби в Америке совсем зажравшееся еще со времен Эдисона. В идеале, исследования, и матвыкладки всегда должны публиковаться как публичное достояние, а вот реализация - да хоть 33 проприетарных лицензии на нее накати, дело твое. У кого руки прямые и формулы читать и понимать умеет, тот код сам напишет, главное не будь мудаком и поделись математикой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

72. Сообщение от Аноним (72), 14-Май-20, 13:51   +/
> >А в старых версиях coreboot байты прокисают?
> Пусть теперь думает.

А там закрытый код, что-ли? Ну очень ты дорожишь своей железкой, возьми, да сам портируй патч безопасности и собери. Или за деньги закажи патч. Это же отрытый продукт. Зачем бесплатно заниматься теми железками, которые почти никто не использует?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

73. Сообщение от Аноним (51), 14-Май-20, 14:12   +/
Эм, оно всегда будет так выглядеть, потому что реюзабилити стоит во главе угла у всех нормальных разрабов, которым впадлу плодить сущности. Нельзя придумать архитектуру, в которой будут "магические" модули, которые в себе так хитро спрячут нюансы реализации, что стрельнувший модуле произвольный заранее неизвестный косячок не выберется за его пределы. Только тесты и личная квалификация/квалификация команды при разработке, другого не дано, чтобы хотя бы процентов на 80% быть уверенным, что ПО достаточно качественное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

74. Сообщение от mumu (ok), 14-Май-20, 14:19   +/
Synopsis вполне себе придерживается практик безопасной разработки по ISO и NIST. И они оказывают услуги по аудиту на соответствие стандартам безопасной разработки и архитектуры для тех, у кого нет своих собственных DevSecOps-ов. Что сказать-то хотели?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #82

75. Сообщение от Аноним (75), 14-Май-20, 14:25   –1 +/
> А то уж они бы показали немытому опенсорсу, как надо код писать!

Вспомнил 10 лет не закрытый dirty cow, через который опенсорсный кocтылинупc не имел только ленивый, пожал плечами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

77. Сообщение от Аноним (77), 14-Май-20, 15:30   +1 +/
https://a.radikal.ru/a42/2005/0f/fe65d7a0f5a5.png
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

79. Сообщение от Аноним (79), 14-Май-20, 19:21   +1 +/
100% согласен. OS это зло. Хотели как лучше получилось как всегда. Вместо обмена знаниями и идеями, это теперь социально-политический клуб.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

80. Сообщение от yara (?), 14-Май-20, 20:10   +/
Бинарники можно сканировать. Если есть бюджет - компилируем все релизные версии условных Х тыс. самых популярных открытих либ разными компиляторами, находим в них уникальные последовательности байтов, пишем Yara правила (Yara rules), и сканируем бинарники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

82. Сообщение от Michael Shigorinemail (ok), 15-Май-20, 00:09   –1 +/
Что хотел -- то сказал.  Свидетелям "цивилизации" гопников -- не понять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

83. Сообщение от Michael Shigorinemail (ok), 15-Май-20, 00:12   +/
> Ну да, специалист, обычно того же уровня квалификации, посмотрит
> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
> всё заново.

Это скорее национальная специфика, не стоит совсем уж обобщать.

> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
> Правда, сомневаюсь.

Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда его наличие -- последний довод.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #85

84. Сообщение от Карабьян (?), 15-Май-20, 07:50   +/
>[оверквотинг удален]
> Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем:  коммерческого
> закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не
> затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).
> К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых
> -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому
> намного честнее заявить "мы не поддерживаем - ведь тот самый аноним
> не хочет присылать патчи или донатить", чем иметь список поддержки "для
> галочки".
>> Пусть теперь думает.
> Пусть аноним тоже попробует - авось понравится 🙄

Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. Патч тоже палка еще та: если он работает локально, зачем им делиться? Чтобы исправлять ошибки на чужих конфигурациях? И если работает сейчас, то  может не будет работать в будущем - а это кто-то еще кроме присылающего сможет починить? И опять массовость нужна: тогда исправление выгодно вносить, в одиночку - нет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #90

85. Сообщение от Карабьян (?), 15-Май-20, 07:55   +/
>> Ну да, специалист, обычно того же уровня квалификации, посмотрит
>> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
>> всё заново.
> Это скорее национальная специфика, не стоит совсем уж обобщать.

То есть нация плохая? Программисты-нежоучки? А где профессионалы?
>> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
>> Правда, сомневаюсь.
> Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
> В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда
> его наличие -- последний довод.

Кто-нибудь сталкивался? Как успехи? И как после таких вмещательств полет нормальный, обновления бинарные там?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

86. Сообщение от www2 (??), 15-Май-20, 09:24   +/
Разверните мысль, пожалуйста. Что за "админский подход"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #89

87. Сообщение от КО (?), 15-Май-20, 09:50   +/
Какие бинарники в Node.js?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

88. Сообщение от Имя (?), 15-Май-20, 11:12   +/
>кому ты нужен!

Это справедливо разве что на локалхосте, на предприятии 1) ты отвечаешь за организацию 2) у компании есть что украсть и них всяко больше денег чем у тебя

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

89. Сообщение от Аноним (89), 15-Май-20, 14:35   +/
написано же "работает — не трогай"
намек, что не надо чинить (менять настройки) то, что не сломано
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

90. Сообщение от Аноним84701 (ok), 15-Май-20, 16:43   +/
> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.

Да я не спорю.  Хотя если действительно нужно, то можно "кинуть клич", поискать единомышленников.
Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами) за свои хотелки,  то наверное не стоит и ныть "вооот, взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #91

91. Сообщение от Карабьян (?), 15-Май-20, 16:53   +/
>> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.
> Да я не спорю.  Хотя если действительно нужно, то можно "кинуть
> клич", поискать единомышленников.
> Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами)
> за свои хотелки,  то наверное не стоит и ныть "вооот,
> взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?

Если было и как-то работало, то понятно возмущение, впрочем, право на форк тоже никто не отменял; да, действительно, не виду повода для спора


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

92. Сообщение от Аноним (92), 15-Май-20, 23:03   +/
> Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости.

Почему cмyзиxлёбы считают новейший код априори идеальным и безопасным?

Пофиксишь пару неведомых теоретических уязвимостей в старом коде, который работал дохрена времени без проблем, добавишь 2 десятка новых, более модных-молодёжных. Только пока еще не обнаруженных.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру