Begirada askorekin, akats guztiak ageriko dira

Artikulu honen izenburua Eric Raymondek bere liburuan egindako aipua da Katedrala eta Bazar, eta iturburu irekiko mantra nagusietako bat bezala hartzen da. Geroztik, Linusen legeak (horrela deitzen dio Ericek) era guztietako erasoak jaso ditu, batez ere zer da falazia akats baten ikusgarritasuna kodeari begiratzen dion begi kopuruarekiko independentea delako, besteak beste.

Duela astebete akatsen nahasketak salto egin zuenean Heartbleed OpenSSL (iturburu irekiko proiektua) eta bere eragina, gutxi batzuk (adibidez sagar erabiltzaile hau) azkar mantra eta hura defendatzen dutenak kritikatu zituzten. Ezagutzen bada beste bat huts egin du IOS kodean "jajaja, hartu hori" esaten ibiltzen gara. Baina deskubritzen bada 10 urte aurkitu gabe GnuTLS-en akatsa"Behintzat konponduta daukagula" esaten dugu.

Beraz, Ericek mezu bat idatzi zuen gauzak argi uzteko. Linusen legea lehen bezala indarrean dago oraindik.

Ericek dio kritikariek ikus dezaketen akatsa gehiegi azpimarratzean egiten dutela akatsa, eta ez dutela azpimarratzen software itxi baliokide batean ikusi ezin duten segurtasun akatsa okerragoa baina aurkitu gabea izateko probabilitate handia. "Begirada askorekin" esaten duenean, ez da ari ikuskatzen ari den jende kopuruari buruz hipotesien aniztasuna. Desberdin pentsatzen duten pertsona batzuk komunean zona itsua duen armada baino ikuskari hobeak izan daitezke.

Azken hilabeteetan zenbait gauza ikasi nituen egoitza eta negozio txikietako Interneteko bideratzaileetan segurtasun akatsen dentsitateari buruz, hau da, ilea kiribilduko luketen Interneteko bideratzaileetan ... Lagunek ez diete lagunei fabrikako firmwarea exekutatzen uzten. Ez duzu OpenWRT edo bere aldaeren bat baino auditatutako ezer gutxiagotan fidatu nahi. Eta, hala ere, kode irekiko proiektu horietako batean segurtasun akatsen bat agertzen den hurrengoan, film zahar horren berreskurapena ikusiko dugu kode irekiko funtzionamendua ez dabilen beste pertsona batzuekin batera. Ironikoki, hori gertatuko da, hain zuzen ere, iturburu irekiko prozesuak funtzionatzen duelako, akats okerragoak nonbait itxitako bideratzaileen firmwarearen inguruan dabiltzan bitartean.

Eta adibide bera gertatzen da Heartbleed-i. Zein da SSL / TLS jabedun bloben akatsen historia? Ez da ezagutzen. Fabrikatzaileek ez dute ezer esaten. Eta ezin da ezer esan zure kodearen kalitateari buruz ezin delako ikuskatu. Moldaketak bidaltzeko abiadura ere nabarmentzen da. Linux sistemetan dagoeneko badago konponbide bat Heartbleed-entzat. Jabedun sistemetan konponketak askoz ere gehiago iraun dezake. Eta hori gertatzen da software itxiko negozio eredu askok bertsio berritzea eskatzen dutela marruskadura handiko prozesu garestia izan dadin, onarpen eskakizunetan, tasetan eta legezko murrizketetan estalita. Hemen kode irekian konponketa minutu gutxitan etor daiteke, inor ez delako horrekin errenta irabazten saiatzen.

Aurretik, pasahitzak aldatu ditut gune batzuetan (https onartzen dutenetan soilik) diru eskua emateaz gain. Benetan merezi dute.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

13 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   Marcos esan zuen

    Horregatik, ez da komenigarria «Sistema Eragile esklusiboaren zalea» izatea sistema guztiek beren akatsak dituzte
    aldatzen den gauza bakarra arazoei aurre egiteko filosofia da

    http://i.imgur.com/UOFAbqy.jpg

    1.    Alexander esan zuen

      Irudia maite nuen, zer pena iruzkinak bozkatu ezin izana

      1.    nillo esan zuen

        DIsqus iruzkin sistema gisa jar dezakete.

        1.    eliotime3000 esan zuen

          Disqus-en okerra da bere erabiltzaileen kudeaketa sistema oso eskasa dela eta ezin da kontrolatu zein mezu elektronikotan erabiltzen duten edo zein IPetatik datozen iruzkinak.

    2.    eliotime3000 esan zuen

      Irudian akats bat dago: GNU / Linux eguneratzeetan, gauza ona da eguneratzeak, orokorrean, ez direla MB izugarriak Windows eta Mac-ekin gertatzen den bezala. Gainera, Windows Update-k, eguneratze kudeatzaile gisa, etsigarria da.

    3.    userGNU / Linux esan zuen

      Ni naiz arazoa; arazoa da asmameneko gailu hauek erabiltzen ditugunok zer diren eta zer egiten duten ulertu ere egin gabe, denek ezin dute programatzen ikasi, baina existitzen direnen artean programatzaile batzuek alda dezakete.
      Elkarrizketa irakurri zenuen, GNU / Linux OS lehen aldiz kargatu eta zure erabiltzailearen pasahitza sartu zenuenean. "Botereari eta erantzukizunari buruz". Hori da garatzaile onek gailu horien "iturburu kodea" doan eskuragarri jartzen dutenean egiten dutena.

  2.   Ronin esan zuen

    OpenSSL arazoa komunitateko arazoa dela ere uste dut, kodea irekita dagoenez hobeto ikuskatu behar zelako eta% 100 ados nago iturburu irekia seguruagoa dela iritzita, gutxienez jaiotzako akatsak ezagutu baitaitezke. gauza bera pribatiboak ez daki zein segurua edo ziurta daitekeen.

    1.    eliotime3000 esan zuen

      Arazoa ez da nahitaez OpenSSL komunitatea, arazoa da komunitateak berak ez duela eskatu aipatutako softwarearen bertsioa eguneratu dezaten distribuzio guztientzako lehentasun nagusi gisa.

      Eta bide batez, 1.0.0 eta 0.9.8 adarretik, 1.0.1g bertsioaz gain, aipatutako akatsak eragin ez zien bertsioak izan dira.

  3.   erabil dezagun linux esan zuen

    oso artikulu ona!

  4.   eliotime3000 esan zuen

    Zorionez OpenSSL eguneratu dute Debian GNU / Linux bezalako distribuzioetan (bide batez, oso arina), baina Windows-en, 800 MB-ko FRIOLERA dator (txarra da beti bezalako adabaki berdinak direla eta inoiz ez direla zehatzak GNU / Linux distribuzioetakoak).

    Dena den, pentsatu nuen akatsa SSL bera zela eta ez OpenSSL-koa (AES edo WPA-PSK-koa balitz, istorioa bestelakoa izango litzateke).

  5.   vidagnu esan zuen

    Oso ondo, sistema itxi batzuetan ezagutzen ez ditugun eta gaizkileek lapurtzeko erabil ditzaketen hainbat arazo egon daitezke, eta okerrena da detektatu eta jakinarazten dutenean betirako konpontzen direla.

  6.   kaoi97 esan zuen

    interesgarria

  7.   userGNU / Linux esan zuen

    Kode irekiak edo kode irekiak gizarte ongizate maximoa lortzen dute automatikoki. Kode itxia; mendekotasuna duten pertsona batzuen interes propioa bilatzeko gaitasunaren adierazpena. Barre egiten nau Adam Smith-ek "esku ikusezinaren" ideia ekonomikoarekin lotzeak, oso kontraesankorra dela uste baitut.