Tittelen på denne artikkelen er et sitat fra Eric Raymond i boka hans Katedralen og basaren, og det regnes som en av de viktigste mantraene med åpen kildekode. Siden den gang har Linus lov (det er det Eric kaller det) kommet under alle slags angrep, spesielt hva er feilslutning fordi synligheten av en feil er uavhengig av antall øyne som blant annet ser på koden.
Da bug-rotet hoppet for en uke siden heartbleed av OpenSSL (open source-prosjekt) og dens innvirkning, noen få (for eksempel denne eplebrukeren) var raske med å kritisere mantraet og de som forsvarer det. Hvis det blir oppdaget en gang til mislykkes I iOS-koden går vi rundt og sier "hahaha, ta den." Men hvis det blir oppdaget en feil i GnuTLS som gikk 10 år uten å bli oppdagetVi sier "i det minste har vi det løst."
Så Eric skrev et innlegg for å gjøre ting klare. Linus lov er fortsatt i kraft så lenge som før.
Eric sier at kritikere gjør feilen ved å understreke feilen de kan se, og ikke understreke den høye sannsynligheten for at en sikkerhetsfeil de ikke kan se i tilsvarende lukket programvare, er verre, men uoppdaget. Når han sier "med mange blikk", refererer han ikke til antall personer som kontrollerer, men mangfoldet av antagelser. Noen få mennesker som tenker annerledes kan være bedre revisorer enn en hær som har en blind sone til felles.
I løpet av de siste månedene lærte jeg noen få ting om tettheten av sikkerhetsfeil i proprietære firmware på hjemmet og småbedriftsinternettrutere som ville krølle håret ditt ... Venner lar ikke vennene deres kjøre firmware fra fabrikken. Du vil ikke stole på noe mindre revidert enn OpenWRT eller en av variantene. Og neste gang en sikkerhetsfeil dukker opp i et av de åpne kildekodeprosjektene, vil vi se en gjentakelse av den gamle filmen med en ny runde mennesker som squawking at open source ikke fungerer. Ironisk nok vil dette skje nettopp fordi åpen kildekodeprosess FUNGERER, mens verre feil vandrer rundt fastvaren til lukkede rutere et sted.
Og det samme eksemplet gjelder Heartbleed. Hva er feilhistorikken for proprietære SSL / TLS-blobs? Det er ikke kjent. Produsentene sier ingenting. Og ingenting kan sies om kvaliteten på koden din fordi den ikke kan revideres. Farten ved sending av ordninger skiller seg også ut. Allerede på linux-systemer er det en løsning for Heartbleed. I proprietære systemer kan løsningen ta mye lenger tid. Og det er fordi mange av de lukkede forretningsmodellene for programvare krever oppgraderinger for å være en kostbar prosess med høy friksjon, dekket av godkjenningskrav, avgifter og juridiske begrensninger. Her i åpen kildekode kan en løsning komme på få minutter fordi ingen prøver å tjene inntekt med den.
Yo, jeg har nettopp endret passordene mine på noen få nettsteder (bare de som støtter https) i tillegg til å gi ham en pengehånd. De fortjener det virkelig.
Derfor er det ikke tilrådelig å være en "fan av et eksklusivt operativsystem", alle systemer har sine feil
det eneste som endrer seg er filosofien om hvordan man skal takle problemer
http://i.imgur.com/UOFAbqy.jpg
Jeg elsket bildet, så synd at kommentarene ikke kan stemmes
De kunne sette DIsqus som et kommentarsystem.
Det dårlige med Disqus er at brukerstyringssystemet er veldig dårlig, og det er ikke mulig å overvåke kommentarene fra hvilken e-post de bruker, eller fra hvilke IP-er kommentarene kommer.
Det er en feil i bildet: i GNU / Linux-oppdateringer er det gode at oppdateringene generelt ikke er en stor MB som tilfellet er med Windows og Mac. Også Windows Update, Som en oppdateringsbehandling, det er bare skuffende.
Jeg er problemet; problemet er at vi som bruker disse oppfinnsomhetene uten å forstå hva de er og hva de egentlig gjør, ikke alle kan lære å programmere, men noen få programmerere blant de som eksisterer kan utgjøre en forskjell.
Du leste dialogen når du for første gang lastet inn GNU / Linux OS og skrev inn brukerpassordet ditt. "På kraft og ansvar". Det er det gode utviklere gjør når de gjør "kildekoden" til disse enhetene fritt tilgjengelig.
Jeg føler at OpenSSL-problemet også er et fellesskapsproblem siden koden burde vært bedre revidert siden den er åpen, og jeg er 100% enig i at en åpen kildekode er tryggere siden i det minste man kan bli kjent med fødselsfeilene til det samme mens den private ikke vet hvor trygt eller usikkert det kan være.
Problemet er ikke nødvendigvis OpenSSL-fellesskapet, problemet er faktisk at samfunnet selv ikke har oppfordret til at de oppdaterer versjonen av programvaren som en topprioritet for alle distroer.
Og forresten, fra 1.0.0- og 0.9.8-grenen, i tillegg til versjon 1.0.1g, har de vært versjonene der de ikke ble berørt av nevnte feil.
veldig god artikkel!
Heldigvis oppdaterte de OpenSSL i distroser som Debian GNU / Linux (forresten, veldig lett), men i Windows kommer en FRIOLERA på 800 MB (det dårlige er at de er de samme oppdateringene som alltid og er aldri spesifikke som de av GNU / Linux distros).
Uansett, jeg trodde at feilen var fra selve SSL og ikke fra OpenSSL (hvis den var fra AES eller WPA-PSK, ville historien være annerledes).
Helt enig, i lukkede systemer kan det være mange problemer på flere år som vi ikke kjenner til, og som kriminelle kan bruke til å stjele, og det verste er at når det blir oppdaget og rapportert, tar det for alltid å løse.
Interessant
Åpen kildekode eller åpen kildekode oppnår automatisk maksimal sosial velferd. Stengt kode; uttrykk for evnen til å søke egeninteresse hos noen få av de pårørende. Det får meg til å le å knytte dette til Adam Smiths økonomiske idé "den usynlige hånden", som jeg absolutt anser som veldig motstridende.