Le titre de cet article est une citation d'Eric Raymond dans son livre La cathédrale et le bazar, et il est considéré comme l'un des principaux mantras de l'open source. Depuis lors, la loi de Linus (c'est ainsi que l'appelle Eric) a subi toutes sortes d'attaques, en particulier qu'est-ce qu'une erreur car la visibilité d'une erreur est indépendante du nombre d'yeux regardant le code, entre autres raisons.
Quand il y a une semaine le désordre de bogue a sauté Heartbleed d'OpenSSL (projet open source) et son impact, quelques-uns (par exemple cet utilisateur Apple) ont rapidement critiqué le mantra et ceux qui le défendent. S'il est découvert encore un échec dans le code iOS, nous disons "hahaha, prends celui-là." Mais s'il est découvert un bug dans GnuTLS qui est resté 10 ans sans être découvertNous disons «au moins nous l'avons réparé».
Si Eric a écrit un message pour clarifier les choses. La loi de Linus est toujours en vigueur aussi longtemps qu'avant.
Eric dit que les critiques font l'erreur de surestimer le bogue qu'ils peuvent voir, et de ne pas insister sur la forte probabilité qu'une faille de sécurité qu'ils ne peuvent pas voir dans un logiciel fermé équivalent soit pire mais non découverte. Quand il dit «avec de nombreux regards», il ne fait pas référence au nombre de personnes qui auditent la diversité des hypothèses. Quelques personnes qui pensent différemment peuvent être de meilleurs auditeurs qu'une armée qui a une zone aveugle en commun.
Au cours des derniers mois, j'ai appris quelques choses sur la densité des failles de sécurité dans les firmwares propriétaires sur les routeurs Internet pour les résidences et les petites entreprises, qui boucleraient leurs cheveux… .. Les amis ne laissent pas leurs amis exécuter le firmware d'usine. Vous ne voulez pas faire confiance à quelque chose de moins audité qu'OpenWRT ou l'une de ses variantes. Et pourtant, la prochaine fois qu'une faille de sécurité apparaîtra dans l'un de ces projets open source, nous verrons une rediffusion de ce vieux film avec une autre série de personnes criant que l'open source ne fonctionne pas. Ironiquement, cela se produira précisément parce que le processus open source fonctionne, tandis que les pires bogues errent quelque part dans le micrologiciel des routeurs fermés.
Et le même exemple s'applique à Heartbleed. Quel est l'historique des défauts des objets blob SSL / TLS propriétaires? On ne sait pas. Les fabricants ne disent rien. Et rien ne peut être dit sur la qualité de votre code car il ne peut être audité. La rapidité lors de l'envoi des arrangements se démarque également. Déjà sur les systèmes Linux, il existe un correctif pour Heartbleed. Dans les systèmes propriétaires, le correctif peut prendre beaucoup plus de temps. Et c'est parce que de nombreux modèles commerciaux de logiciels fermés nécessitent des mises à niveau pour être un processus coûteux et très complexe, couvert par les exigences d'approbation, les frais et les restrictions juridiques. Ici, en open source, un correctif peut venir en quelques minutes car personne n'essaie de gagner un revenu avec lui.
Yo, je viens de changer mes mots de passe sur quelques sites (uniquement ceux qui prennent en charge https) en plus de lui donner une main monétaire. Ils le méritent vraiment.
C'est pourquoi il n'est pas conseillé d'être «fan d'un système d'exploitation exclusif» tous les systèmes ont leurs défauts
la seule chose qui change est la philosophie de la façon de gérer les problèmes
http://i.imgur.com/UOFAbqy.jpg
J'ai adoré l'image, quel dommage que les commentaires ne puissent pas être votés
Ils pourraient mettre DIsqus comme système de commentaires.
La mauvaise chose à propos de Disqus est que son système de gestion des utilisateurs est vraiment médiocre et qu'il n'est pas possible de surveiller les commentaires à partir de quel e-mail ils utilisent ou de quelles adresses IP les commentaires proviennent.
Il y a un bogue dans l'image: dans les mises à jour GNU / Linux, la bonne chose est que les mises à jour, en général, ne représentent pas un énorme Mo comme c'est le cas avec Windows et Mac. De plus, Windows Update, en tant que gestionnaire de mise à jour, c'est juste décevant.
Je suis le problème; le problème est que nous qui utilisons ces dispositifs d'ingéniosité sans même comprendre ce qu'ils sont et ce qu'ils font vraiment, tout le monde ne peut pas apprendre à programmer, mais quelques programmeurs parmi ceux qui existent peuvent faire la différence.
Vous avez lu le dialogue, lorsque pour la première fois vous avez chargé le système d'exploitation GNU / Linux et entré votre mot de passe utilisateur. "Sur le pouvoir et la responsabilité". C'est ce que font les bons développeurs lorsqu'ils mettent à disposition gratuitement le «code source» de ces appareils.
Je pense que le problème OpenSSL est aussi un problème communautaire puisque le code aurait dû être mieux audité puisqu'il est ouvert et je suis d'accord à 100% avec l'opinion qu'une open source est plus sûre puisqu'au moins on peut apprendre à connaître les erreurs de naissance de de même alors que le privatif ne sait pas à quel point il peut être sûr ou peu sûr.
Le problème n'est pas nécessairement la communauté OpenSSL, le problème est en fait que la communauté elle-même n'a pas appelé à mettre à jour la version dudit logiciel comme une priorité absolue pour toutes les distributions.
Et au fait, à partir de la branche 1.0.0 et 0.9.8, en plus de la version 1.0.1g, il s'agit des versions dans lesquelles elles n'étaient pas affectées par ledit bogue.
très bon article!
Heureusement, ils ont mis à jour OpenSSL dans des distributions comme Debian GNU / Linux (au fait, très léger), mais sous Windows, vient un FRIOLERA de 800 Mo (le problème est que ce sont les mêmes correctifs que toujours et ils ne sont jamais spécifiques comme ceux des distributions GNU / Linux).
Quoi qu'il en soit, je pensais que le bogue provenait du SSL lui-même et non d'OpenSSL (s'il provenait d'AES ou de WPA-PSK, l'histoire serait différente).
Tout à fait d'accord, dans les systèmes fermés, il peut y avoir de nombreux problèmes de plusieurs années que nous ne connaissons pas et que les criminels peuvent utiliser pour voler, et le pire est que lorsqu'ils sont détectés et signalés, ils prennent une éternité à résoudre.
intéressant
L'Open Source ou l'Open Source obtient automatiquement le maximum de bien-être social. Code fermé; expression de la capacité de rechercher l'intérêt personnel de quelques personnes à charge. Cela me fait rire de relier cela à l'idée économique d'Adam Smith «la main invisible», que je considère certainement comme très contradictoire.