O título deste artigo é uma citação de Eric Raymond em seu livro A Catedral e o Bazar, e é considerado um dos principais mantras do código aberto. Desde então, a lei de Linus (é como Eric a chama) passou por todos os tipos de ataques, especialmente o que é uma falácia porque a visibilidade de um erro independe do número de olhos que olham para o código, entre outros motivos.
Quando, uma semana atrás, a confusão de insetos saltou heartbleed de OpenSSL (projeto de código aberto) e seu impacto, alguns (por exemplo este usuário de maçã) foram rápidos em criticar o mantra e aqueles que o defendem. Se for descoberto mais um goto falhar No código iOS, costumamos dizer "hahaha, pegue esse aqui." Mas se for descoberto um bug no GnuTLS que ficou 10 anos sem ser descobertoDizemos "pelo menos consertamos".
Assim Eric escreveu uma postagem para tornar as coisas claras. A lei de Linus ainda está em vigor tanto quanto antes.
Eric diz que os críticos cometem o erro de enfatizar demais o bug que eles podem ver, e não enfatizar a alta probabilidade de que uma falha de segurança que eles não podem ver em um software fechado equivalente seja pior, mas não descoberta. Quando ele diz "com muitos olhares", ele não está se referindo ao número de pessoas auditando, mas a diversidade de suposições. Algumas pessoas que pensam de maneira diferente podem ser melhores auditores do que um exército que tem uma zona cega em comum.
Nos últimos meses, aprendi algumas coisas sobre a densidade de falhas de segurança em firmwares proprietários em roteadores de internet para residências e pequenas empresas, que encaracolariam seus cabelos ... Amigos não deixam seus amigos rodarem firmware de fábrica. Você não quer confiar em nada menos auditado do que o OpenWRT ou uma de suas variantes. No entanto, da próxima vez que uma falha de segurança aparecer em um desses projetos de código aberto, veremos uma repetição daquele filme antigo com outra rodada de pessoas reclamando que o código aberto não funciona. Ironicamente, isso vai acontecer precisamente porque o processo de código aberto FUNCIONA, enquanto bugs piores vagam pelo firmware de roteadores fechados em algum lugar.
E o mesmo exemplo se aplica ao Heartbleed. Qual é o histórico de defeitos de blobs SSL / TLS proprietários? Não se sabe. Os fabricantes não dizem nada. E nada pode ser dito sobre a qualidade do seu código porque ele não pode ser auditado. A rapidez no envio de arranjos também se destaca. Já em sistemas Linux, existe uma correção para Heartbleed. Em sistemas proprietários, a correção pode demorar muito mais. E isso porque muitos dos modelos de negócios de software fechados exigem que as atualizações sejam um processo caro e de alto atrito, coberto por requisitos de aprovação, taxas e restrições legais. Aqui no código aberto, uma correção pode chegar em minutos, porque ninguém tenta ganhar uma renda com isso.
Ei, acabei de alterar minhas senhas em alguns sites (apenas aqueles que suportam https) além de dar a ele uma ajuda monetária. Eles realmente merecem.
Por isso não convém ser «fã de um Sistema Operativo exclusivo» todos os sistemas têm as suas falhas
a única coisa que muda é a filosofia de como lidar com os problemas
http://i.imgur.com/UOFAbqy.jpg
Adorei a imagem, que pena que os comentários não podem ser votados
Eles poderiam colocar DIsqus como um sistema de comentários.
O ruim do Disqus é que seu sistema de gerenciamento de usuários é muito pobre e não é possível monitorar os comentários de qual e-mail eles usam ou de quais IPs vêm os comentários.
Há um bug na imagem: nas atualizações GNU / Linux, o bom é que as atualizações, em geral, não são um MB colossal como é o caso do Windows e do Mac. Além disso, o Windows Update, Como gerenciador de atualizações, é simplesmente decepcionante.
Eu sou o problema; o problema é que nós, que usamos esses dispositivos engenhosos, mesmo sem entender o que eles são e o que realmente fazem, nem todos podem aprender a programar, mas alguns programadores entre os que existem podem fazer a diferença.
Você leu o diálogo quando, pela primeira vez, carregou o sistema operacional GNU / Linux e inseriu sua senha de usuário. "On Power and Responsibility." É isso que os bons desenvolvedores fazem quando disponibilizam gratuitamente o "código-fonte" desses dispositivos.
Acho que o problema do OpenSSL também é um problema da comunidade, pois o código deveria ter sido melhor auditado por ser aberto e concordo 100% com a opinião de que um código aberto é mais seguro, já que pelo menos um pode conheça os erros de nascimento do mesmo enquanto o privativo não sabe o quão seguro ou inseguro pode ser.
O problema não é necessariamente a comunidade OpenSSL; na verdade, o problema é que a própria comunidade não pediu que atualizassem a versão do referido software como uma prioridade para todas as distros.
E por falar nisso, desde o branch 1.0.0 e 0.9.8, além da versão 1.0.1g, foram as versões em que não foram afetadas pelo referido bug.
artigo muito bom!
Felizmente eles atualizaram o OpenSSL em distros como Debian GNU / Linux (aliás, muito leve), mas no Windows, vem uma FRIOLERA de 800 MB (o ruim é que são os mesmos patches de sempre e nunca são específicos como os do Distros GNU / Linux).
Enfim, achei que o bug fosse do próprio SSL e não do OpenSSL (se fosse do AES ou do WPA-PSK, a história seria diferente).
Concordo plenamente, em sistemas fechados pode haver muitos problemas de vários anos que não conhecemos e que os criminosos podem usar para roubar, e o pior é que quando são detectados e denunciados demoram uma eternidade para serem resolvidos.
interessante
Código aberto ou código aberto obtém automaticamente o máximo bem-estar social. Código fechado; expressão da capacidade de buscar o interesse próprio em benefício de alguns acosta dos dependentes. Faz-me rir relacionar isto com a ideia económica de Adam Smith "a mão invisível", que certamente considero muito contraditória.