Tytuł tego artykułu jest cytatem z jego książki Erica Raymonda Katedra i bazari jest uważana za jedną z głównych mantr open source. Od tego czasu prawo Linusa (tak nazywa je Eric) otrzymało, szczególnie, wszelkiego rodzaju ataki co to jest błąd ponieważ widoczność błędu jest niezależna między innymi od liczby oczu patrzących na kod.
Kiedy tydzień temu pojawił się bałagan heartbleed OpenSSL (projekt open source) i jego wpływ, kilka (np ten użytkownik Apple) szybko skrytykowali mantrę i tych, którzy jej bronią. Jeśli zostanie odkryte jeszcze jeden nie powiódł się W kodzie iOS mówimy „hahaha, weź to”. Ale jeśli zostanie odkryte błąd w GnuTLS, którego nie wykryto przez 10 lat, mówimy „przynajmniej mamy to rozwiązane”.
więc Eric napisał post żeby wszystko było jasne. Prawo Linusa obowiązuje tak długo, jak wcześniej.
Eric mówi, że krytycy popełniają błąd, nadmiernie podkreślając błąd, który widzą, i nie podkreślając wysokiego prawdopodobieństwa, że luka w zabezpieczeniach, której nie widzą w równoważnym zamkniętym oprogramowaniu, jest gorsza, ale nieodkryta. Kiedy mówi „z wieloma spojrzeniami”, nie ma na myśli liczby osób kontrolujących, ale różnorodność założeń. Kilka osób, które myślą inaczej, może być lepszymi audytorami niż armia, która ma wspólną strefę ślepą.
W ciągu ostatnich kilku miesięcy dowiedziałem się kilku rzeczy o gęstości luk w zabezpieczeniach zastrzeżonego oprogramowania sprzętowego routerów internetowych w domach i małych firmach, które kręcą włosy… .. Przyjaciele nie pozwalają swoim znajomym uruchamiać fabrycznego oprogramowania układowego. Nie chcesz ufać czemuś, co jest mniej audytowane niż OpenWRT lub jeden z jego wariantów. A jednak następnym razem, gdy luka bezpieczeństwa pojawi się w jednym z tych projektów open source, zobaczymy powtórkę tego starego filmu z kolejną rundą ludzi skrzeczących, że open source nie działa. Jak na ironię, stanie się to właśnie dlatego, że proces open source DZIAŁA, podczas gdy gorsze błędy wędrują gdzieś po oprogramowaniu układowym zamkniętych routerów.
Ten sam przykład dotyczy Heartbleed. Jaka jest historia defektów zastrzeżonych obiektów blob SSL / TLS? Nie wiadomo. Producenci nic nie mówią. I nie możesz nic powiedzieć o jakości swojego kodu, ponieważ nie można go poddać audytowi. Wyróżnia się również szybkość wysyłania aranżacji. Już w systemach linuxowych jest poprawka dla Heartbleed. W zastrzeżonych systemach naprawa może potrwać znacznie dłużej. A to dlatego, że wiele zamkniętych modeli biznesowych oprogramowania wymaga aktualizacji, aby były kosztownym procesem o dużych tarciach, objętym wymaganiami dotyczącymi zatwierdzenia, opłatami i ograniczeniami prawnymi. Tutaj, w open source, porozumienie może nadejść w ciągu kilku minut, ponieważ nikt nie próbuje na nim zarobić.
Hej, właśnie zmieniłem swoje hasła w kilku witrynach (tylko te, które obsługują https) poza podaniem mu pieniężnej ręki. Naprawdę na to zasługują.
Dlatego nie jest wygodnie być „fanem ekskluzywnego systemu operacyjnego”, wszystkie systemy mają swoje wady
jedyne, co się zmienia, to filozofia radzenia sobie z problemami
http://i.imgur.com/UOFAbqy.jpg
Uwielbiałem ten obraz, szkoda, że nie można głosować na komentarze
Mogliby umieścić DIsqus jako system komentarzy.
Wadą Disqus jest to, że jego system zarządzania użytkownikami jest naprawdę kiepski, a ponadto nie możesz monitorować komentarzy, z których e-maili korzystają lub z których adresów IP pochodzą.
Na obrazie jest błąd: w aktualizacjach GNU / Linuksa dobrą rzeczą jest to, że generalnie aktualizacje nie zajmują dużej ilości MB, jak ma to miejsce w przypadku Windows i Mac. Ponadto Windows Update, jako menedżer aktualizacji, to po prostu rozczarowujące.
Ja jestem problemem; Problem w tym, że my, którzy używamy tych pomysłowych urządzeń, nawet nie rozumiejąc, czym one są i co naprawdę robią, nie każdy może nauczyć się programować, ale kilku programistów spośród tych, którzy istnieją, może coś zmienić.
Czytałeś dialog, kiedy po raz pierwszy ładowałeś system operacyjny GNU / Linux i wprowadzałeś hasło użytkownika. „O mocy i odpowiedzialności”. To właśnie robią dobrzy programiści, gdy bezpłatnie udostępniają „kod źródłowy” tych urządzeń.
Czuję, że problem OpenSSL jest również problemem społeczności, ponieważ kod powinien być lepiej sprawdzony, ponieważ jest otwarty i zgadzam się w 100% z opinią, że open source jest bezpieczniejszy, ponieważ przynajmniej można poznać błędy narodzin to samo, podczas gdy prywatny nie wie, jak bezpieczny lub niepewny może być.
Problem niekoniecznie dotyczy społeczności OpenSSL, problem polega w rzeczywistości na tym, że sama społeczność nie wezwała do aktualizacji wersji tego oprogramowania jako najwyższego priorytetu dla wszystkich dystrybucji.
Nawiasem mówiąc, z gałęzi 1.0.0 i 0.9.8, oprócz wersji 1.0.1g, były to wersje, w których ten błąd nie dotyczył.
bardzo dobry artykuł!
Na szczęście zaktualizowali OpenSSL w dystrybucjach takich jak Debian GNU / Linux (przy okazji, bardzo lekki), ale w systemie Windows jest FRIOLERA o wielkości 800 MB (złe jest to, że są to te same łaty co zawsze i nigdy nie są specyficzne, jak dystrybucji GNU / Linux).
W każdym razie pomyślałem, że błąd pochodzi z samego SSL, a nie z OpenSSL (gdyby był z AES lub WPA-PSK, historia byłaby inna).
Zdecydowanie zgadzam się, że w systemach zamkniętych może istnieć wiele problemów trwających kilka lat, których nie znamy i których przestępcy mogą wykorzystywać do kradzieży, a najgorsze jest to, że kiedy zostaną wykryte i zgłoszone, ich rozwiązanie zajmuje wieczność.
Ciekawy
Open source lub open source automatycznie uzyskuje maksymalny dobrobyt społeczny. Kod zamknięty; wyraz zdolności poszukiwania korzyści dla własnej korzyści kilku osób pozostających na utrzymaniu. Śmieję się, gdy odnoszę to do ekonomicznej idei Adama Smitha „niewidzialna ręka”, którą z pewnością uważam za bardzo sprzeczną.