عنوان هذا المقال هو اقتباس من إيريك ريموند في كتابه الكاتدرائية والبازار، وتعتبر واحدة من العبارات الرئيسية للمصدر المفتوح. منذ ذلك الحين ، تعرض قانون لينوس (هذا ما يسميه إريك) لجميع أنواع الهجمات ، على وجه الخصوص ما هي المغالطة لأن رؤية الخطأ مستقلة عن عدد العيون التي تنظر إلى الكود ، من بين أسباب أخرى.
عندما قفزت فوضى الحشرات قبل أسبوع هارتبليد OpenSSL (مشروع مفتوح المصدر) وتأثيره ، قليل (على سبيل المثال مستخدم التفاح هذا) سارعوا إلى انتقاد المانترا وأولئك الذين يدافعون عنها. إذا تم اكتشافه فشل واحد آخر في كود iOS ، نقول "هاهاها ، خذ هذا". ولكن إذا تم اكتشافه خطأ في GnuTLS استمر 10 سنوات دون أن يتم اكتشافهنقول "على الأقل لدينا ثابتة".
هكذا كتب إريك وظيفة لتوضيح الأمور. لا يزال قانون لينوس ساري المفعول منذ فترة طويلة.
يقول إريك إن النقاد يرتكبون خطأ المبالغة في التأكيد على الخطأ الذي يمكنهم رؤيته ، وعدم التأكيد على الاحتمال الكبير بأن الخلل الأمني الذي لا يمكنهم رؤيته في البرامج المغلقة المماثلة أسوأ ولكنه غير مكتشف. عندما يقول "بنظرات عديدة" ، فهو لا يشير إلى عدد الأشخاص الذين يقومون بالتدقيق ولكن تنوع الافتراضات. قلة من الناس الذين يفكرون بشكل مختلف قد يكونون أفضل مدققين من جيش لديه منطقة عمياء مشتركة.
في الأشهر القليلة الماضية ، تعلمت بعض الأشياء حول كثافة الثغرات الأمنية في البرامج الثابتة المملوكة للملكية على أجهزة توجيه الإنترنت للمساكن والشركات الصغيرة ، والتي من شأنها تجعيد شعرهم… .. لا يسمح الأصدقاء لأصدقائهم بتشغيل البرامج الثابتة للمصنع. لا تريد الوثوق بأي شيء أقل تدقيقًا من OpenWRT أو أحد متغيراته. ومع ذلك ، في المرة القادمة التي يظهر فيها ثغرة أمنية في أحد مشاريع المصدر المفتوح ، سنشاهد إعادة عرض لهذا الفيلم القديم مع جولة أخرى من الأشخاص يصرخون بأن المصدر المفتوح لا يعمل. ومن المفارقات أن هذا سيحدث على وجه التحديد لأن عملية المصدر المفتوح تعمل ، بينما تتجول البق الأسوأ في مكان ما في البرامج الثابتة لأجهزة التوجيه المغلقة.
ونفس المثال ينطبق على Heartbleed. ما هو تاريخ الخلل في نقاط SSL / TLS المملوكة؟ غير معروف. لا يقول المصنعون شيئًا. ولا يمكن قول أي شيء عن جودة الكود الخاص بك لأنه لا يمكن تدقيقه. تبرز السرعة عند إرسال الترتيبات أيضًا. يوجد بالفعل في أنظمة لينكس إصلاح لـ Heartbleed. في الأنظمة الاحتكارية ، يمكن أن يستغرق الإصلاح وقتًا أطول. وذلك لأن العديد من نماذج أعمال البرمجيات المغلقة تتطلب ترقيات لتكون عملية مكلفة وعالية الاحتكاك ، وتغطيها متطلبات الموافقة والرسوم والقيود القانونية. هنا في المصدر المفتوح ، يمكن أن يصل الترتيب في غضون دقائق لأنه لا أحد يحاول كسب دخل منه.
يو ، لقد قمت للتو بتغيير كلمات المرور الخاصة بي في عدد قليل من المواقع (فقط تلك التي تدعم https) إلى جانب إعطائه يدًا نقدية. هم حقا يستحقونها.
لهذا السبب ليس من المستحسن أن تكون «معجبًا بنظام تشغيل حصري» ، فجميع الأنظمة بها عيوبها
الشيء الوحيد الذي يتغير هو فلسفة كيفية التعامل مع المشاكل
http://i.imgur.com/UOFAbqy.jpg
أحببت الصورة ، يا للأسف أن التعليقات لا يمكن التصويت عليها
يمكنهم وضع DIsqus كنظام تعليق.
الشيء السيئ في Disqus هو أن نظام إدارة المستخدم الخاص به ضعيف حقًا ، ولا يمكن أيضًا مراقبة التعليقات التي يستخدمونها أو من عناوين IP التي تأتي منها التعليقات.
يوجد خطأ في الصورة: في تحديثات GNU / Linux ، الشيء الجيد هو أن التحديثات بشكل عام ليست ضخمة كما هو الحال مع Windows و Mac. أيضًا ، Windows Update ، كمدير تحديث ، إنه مجرد مخيب للآمال.
أنا المشكلة. المشكلة هي أننا نحن الذين نستخدم هذه الأجهزة المبتكرة دون أن نفهم حتى ما هي وماذا تفعل بالفعل ، لا يمكن للجميع تعلم البرمجة ، ولكن القليل من المبرمجين من بين أولئك الموجودين يمكنهم إحداث فرق.
لقد قرأت الحوار ، عندما حملت لأول مرة نظام التشغيل GNU / Linux وأدخلت كلمة مرور المستخدم الخاصة بك. "في السلطة والمسؤولية". هذا ما يفعله المطورون الجيدون عندما يجعلون "شفرة المصدر" لهذه الأجهزة متاحة مجانًا.
أشعر أن مشكلة OpenSSL هي أيضًا مشكلة مجتمعية لأن الكود كان يجب أن يتم تدقيقه بشكل أفضل لأنه مفتوح وأوافق 100٪ مع الرأي القائل بأن المصدر المفتوح أكثر أمانًا حيث يمكن للمرء على الأقل تعرف على أخطاء ولادة نفس الشيء بينما الشخص الخاص لا يعرف مدى أمانه أو عدم أمانه.
لا تكمن المشكلة بالضرورة في مجتمع OpenSSL ، فالمشكلة في الواقع هي أن المجتمع نفسه لم يحثهم على تحديث إصدار البرنامج المذكور كأولوية قصوى لجميع التوزيعات.
وبالمناسبة ، من فرعي 1.0.0 و 0.9.8 ، بالإضافة إلى الإصدار 1.0.1g ، فقد كانت الإصدارات التي لم تتأثر بها الخطأ المذكور.
مقال جيد جدا!
لحسن الحظ ، قاموا بتحديث OpenSSL في توزيعات مثل Debian GNU / Linux (بالمناسبة ، خفيف جدًا) ، ولكن في Windows ، تأتي FRIOLERA من 800 ميجابايت (الشيء السيئ هو أنها نفس البقع كما هو الحال دائمًا ولا تكون محددة أبدًا مثل تلك الموجودة في توزيعات جنو / لينكس).
على أي حال ، اعتقدت أن الخطأ كان من SSL نفسه وليس من OpenSSL (إذا كان من AES أو WPA-PSK ، فستكون القصة مختلفة).
أوافق بشدة ، في الأنظمة المغلقة يمكن أن يكون هناك العديد من المشكلات لعدة سنوات لا نعرفها والتي قد يستخدمها المجرمون للسرقة ، وأسوأ شيء هو أنه عندما يتم اكتشافهم والإبلاغ عنهم ، فإنهم يستغرقون وقتًا طويلاً لحلها.
مثيرة للاهتمام
المصدر المفتوح أو المصدر المفتوح يحصل تلقائيًا على أقصى قدر من الرفاهية الاجتماعية. كود مغلق تعبيرًا عن القدرة على السعي وراء منفعة المصلحة الذاتية لعدد قليل من المعالين. يجعلني أضحك لربط هذا بفكرة آدم سميث الاقتصادية عن "اليد الخفية" ، والتي أعتبرها بالتأكيد متناقضة للغاية.