Naslov ovog članka je citat Erica Raymonda iz njegove knjige Katedrala i čaršija, i smatra se jednom od glavnih mantri otvorenog koda. Od tada je Linusov zakon (tako ga Eric naziva) podvrgnut svim vrstama napada, posebno šta je zabluda jer je vidljivost pogreške neovisna od broja očiju koje gledaju kod, između ostalog.
Kad je nered iskočio prije nedelju dana Krvari iz srca OpenSSL-a (projekat otvorenog koda) i njegov utjecaj, nekoliko (na primjer ovaj korisnik jabuke) su brzo kritizirali mantru i one koji je brane. Ako se otkrije još jedan propao U iOS kodu idemo uokolo govoreći "hahaha, uzmi taj." Ali ako se otkrije greška u GnuTLS-u koja je prošla 10 godina bez otkrivanjaKažemo "barem smo to popravili."
tako Eric je napisao post da stvari budu jasne. Linusov zakon i dalje je na snazi kao i prije
Eric kaže da kritičari griješe prenaglašavajući grešku koju mogu vidjeti i ne ističući veliku vjerovatnoću da je sigurnosna mana koju ne mogu vidjeti u ekvivalentnom zatvorenom softveru gora, ali neotkrivena. Kad kaže "s mnogo pogleda", ne misli na broj ljudi koji vrše reviziju, već raznolikost pretpostavki. Nekoliko ljudi koji misle drugačije mogu biti bolji revizori od vojske koja ima zajedničku slijepu zonu.
U posljednjih nekoliko mjeseci naučio sam nekoliko stvari o gustoći sigurnosnih propusta u vlasničkim firmwareima na kućnim i internetskim usmjerivačima za mala preduzeća koji bi vam uvijali kosu ... .. Prijatelji ne dopuštaju svojim prijateljima da rade fabrički firmware. Ne želite vjerovati ničemu manje revidiranom od OpenWRT-a ili jedne od njegovih varijanti. Pa ipak, sljedeći put kad se sigurnosni propust pojavi u jednom od onih projekata otvorenog koda, vidjet ćemo reprizu tog starog filma s drugom rundom ljudi koji škripaju da otvoreni izvor ne radi. Ironično je da će se to dogoditi upravo zato što proces otvorenog koda RADI, dok još gore greške lutaju oko firmware-a zatvorenih usmjerivača negdje.
I isti se primjer odnosi na Heartbleed. Koja je istorija grešaka za vlasničke SSL / TLS blobs? Nije poznato. Proizvođači ne kažu ništa. I ništa se ne može reći o kvaliteti vašeg koda, jer se ne može revidirati. Brzina slanja aranžmana takođe se ističe. Već na linux sistemima postoji popravak za Heartbleed. U vlasničkim sistemima popravak može trajati mnogo duže. A to je zato što mnogi zatvoreni softverski poslovni modeli zahtijevaju nadogradnje kako bi bili skup proces visokog trenja, pokriven zahtjevima za odobrenje, naknadama i zakonskim ograničenjima. Ovdje u otvorenom izvoru aranžman može stići za nekoliko minuta jer nitko ne pokušava njime zaraditi.
Yo, upravo sam promijenio lozinku na nekoliko web lokacija (samo one koje podržavaju https) pored toga što mu je pružio novčanu ruku. Oni to zaista zaslužuju.
Zbog toga nije poželjno biti „ljubitelj ekskluzivnog operativnog sistema“ svi sistemi imaju svoje nedostatke
jedino što se mijenja je filozofija kako se nositi s problemima
http://i.imgur.com/UOFAbqy.jpg
Svidjela mi se slika, šteta što se o komentarima ne može glasati
DIsqus bi mogli staviti kao sistem komentara.
Loša stvar u Disqusu je što je njegov sistem upravljanja korisnicima zaista loš, plus što ne možete pratiti komentare iz koje e-pošte koriste ili s kojih IP-a komentari dolaze.
Na slici postoji greška: u GNU / Linux ažuriranjima dobra stvar je što ažuriranja, generalno, nisu ogromnih MB kao što je slučaj sa Windowsima i Macima. Takođe, Windows Update, kao upravitelj ažuriranja, to je jednostavno razočaravajuće.
Ja sam problem; problem je u tome što mi koji koristimo ove uređaje domišljatosti, a da uopće ne razumijemo što su i što zapravo rade, ne mogu svi naučiti programirati, ali nekoliko programera među onima koji postoje mogu napraviti razliku.
Pročitali ste dijalog kada ste prvi put učitali GNU / Linux OS i unijeli svoju korisničku lozinku. "O moći i odgovornosti." To rade dobri programeri kada "izvorni kod" ovih uređaja učine slobodno dostupnim.
Smatram da je problem OpenSSL-a također problem zajednice, jer je kod trebalo bolje revidirati jer je otvoren i slažem se 100% sa mišljenjem da je otvoreni izvor sigurniji jer se barem može Upoznavanje grešaka rođenja isto dok privatni ne zna koliko to može biti sigurno ili nesigurno.
Problem nije nužno OpenSSL zajednica, problem je zapravo u tome što sama zajednica nije tražila ažuriranje verzije takvog softvera kao glavni prioritet za sve distribucije.
Inače, iz grane 1.0.0 i 0.9.8, uz verziju 1.0.1g, to su verzije u kojima navedena greška nije na njih utjecala.
vrlo dobar članak!
Srećom ažurirali su OpenSSL u distro-ovima poput Debian GNU / Linuxa (usput, vrlo lagani), ali u sustavu Windows dolazi FRIOLERA od 800 MB (loša stvar je što su iste zakrpe kao i uvijek i nikada nisu specifične kao one GNU / Linux distribucija).
U svakom slučaju, mislio sam da je greška iz samog SSL-a, a ne iz OpenSSL-a (da je iz AES-a ili WPA-PSK-a, priča bi bila drugačija).
Čvrsto se slažemo, u zatvorenim sistemima može biti mnogo problema od nekoliko godina koje mi ne znamo i koje kriminalci možda koriste za krađu, a najgore je što kad ih otkriju i prijave kada im treba zauvijek da ih reše.
zanimljiv
Otvoreni izvor ili otvoreni izvor automatski dobijaju maksimalnu socijalnu zaštitu. Zatvoreni kod; izraz sposobnosti traženja vlastitog interesa u korist nekolicine zavisnih osoba. Nasmijava me što to povezujem s ekonomskom idejom Adama Smitha "nevidljiva ruka", koju svakako smatram vrlo kontradiktornom.