Tiêu đề của bài viết này là một câu nói của Eric Raymond trong cuốn sách của anh ấy Nhà thờ và Chợ, và nó được coi là một trong những câu thần chú chính của mã nguồn mở. Kể từ đó, định luật Linus (đó là những gì Eric gọi nó) đã xuất hiện dưới mọi hình thức tấn công, đặc biệt là ngụy biện là gì bởi vì khả năng hiển thị của một lỗi không phụ thuộc vào số lượng mắt nhìn vào mã, trong số các lý do khác.
Khi lỗi lộn xộn xảy ra một tuần trước Đau lòng của OpenSSL (dự án mã nguồn mở) và tác động của nó, một số ít (ví dụ người dùng apple này) đã nhanh chóng chỉ trích câu thần chú và những người bảo vệ nó. Nếu nó được phát hiện một lần nữa thất bại Trong mã iOS, chúng ta sẽ nói "hahaha, lấy cái đó." Nhưng nếu nó được phát hiện một lỗi trong GnuTLS đã 10 năm mà không được phát hiệnChúng tôi nói "ít nhất chúng tôi đã sửa nó."
như vậy Eric đã viết một bài để làm cho mọi thứ rõ ràng. Luật Linus vẫn có hiệu lực như trước
Eric nói rằng các nhà phê bình mắc sai lầm khi nhấn mạnh quá mức vào lỗi mà họ có thể nhìn thấy và không nhấn mạnh khả năng cao là một lỗ hổng bảo mật mà họ không thể nhìn thấy trong phần mềm đóng tương đương là tồi tệ hơn nhưng chưa được phát hiện. Khi anh ấy nói "với nhiều ánh nhìn", anh ấy không nói đến số lượng người kiểm tra mà là sự đa dạng của các giả định. Một vài người có suy nghĩ khác có thể là những kiểm toán viên giỏi hơn một đội quân có chung vùng mù.
Trong vài tháng trước, tôi đã học được một vài điều về mật độ lỗi bảo mật trong các phần mềm cơ sở độc quyền trên các bộ định tuyến internet gia đình và doanh nghiệp nhỏ có thể làm cong tóc bạn… .. Bạn bè không cho phép bạn bè của họ chạy phần mềm cơ sở. Bạn không muốn tin tưởng bất kỳ thứ gì ít được kiểm tra hơn OpenWRT hoặc một trong các biến thể của nó. Tuy nhiên, lần tới khi một lỗ hổng bảo mật xuất hiện trong một trong những dự án nguồn mở đó, chúng ta sẽ thấy một đoạn phim cũ chạy lại với một loạt người khác cho rằng mã nguồn mở không hoạt động. Trớ trêu thay, điều này sẽ xảy ra chính xác bởi vì quy trình nguồn mở KHÔNG hoạt động, trong khi các lỗi tồi tệ hơn lang thang xung quanh phần sụn của các bộ định tuyến đã đóng ở đâu đó.
Và ví dụ tương tự cũng áp dụng cho Heartbleed. Lịch sử lỗi cho các đốm màu SSL / TLS độc quyền là gì? Nó không được biết đến. Các nhà sản xuất không nói gì. Và không thể nói gì về chất lượng mã của bạn vì nó không thể được kiểm toán. Tốc độ khi gửi sắp xếp cũng nổi bật. Trên các hệ thống linux đã có bản sửa lỗi cho Heartbleed. Trong các hệ thống độc quyền, việc sửa chữa có thể mất nhiều thời gian hơn. Và đó là bởi vì nhiều mô hình kinh doanh phần mềm khép kín yêu cầu nâng cấp là một quá trình tốn kém, có tính ma sát cao, bao gồm các yêu cầu phê duyệt, phí và các hạn chế pháp lý. Ở đây trong nguồn mở, một thỏa thuận có thể đến trong vài phút vì không ai cố gắng kiếm thu nhập bằng nó.
Yo, tôi vừa thay đổi mật khẩu của mình trên một vài trang web (chỉ những trang hỗ trợ https) ngoài việc cho anh ta một khoản tiền. Họ thực sự xứng đáng.
Đó là lý do tại sao không tiện trở thành «người hâm mộ Hệ điều hành độc quyền» tất cả các hệ thống đều có sai sót
điều duy nhất thay đổi là triết lý về cách đối phó với các vấn đề
http://i.imgur.com/UOFAbqy.jpg
Tôi yêu hình ảnh, thật tiếc khi các ý kiến không thể bình chọn
Họ có thể đặt DIsqus như một hệ thống bình luận.
Điều tồi tệ ở Disqus là hệ thống quản lý người dùng của nó thực sự rất kém, cộng với việc bạn không thể theo dõi nhận xét họ sử dụng email nào hoặc nhận xét từ IP nào.
Có một lỗi trong hình ảnh: trong các bản cập nhật GNU / Linux, điều tốt là các bản cập nhật, nói chung, không có MB khổng lồ như trường hợp của Windows và Mac. Ngoài ra, Windows Update, Là một trình quản lý cập nhật, nó chỉ đáng thất vọng.
Tôi là vấn đề; vấn đề là chúng ta sử dụng những thiết bị này một cách khéo léo mà không hiểu chúng là gì và chúng thực sự làm gì, không phải ai cũng có thể học lập trình, nhưng một vài lập trình viên trong số những người tồn tại có thể tạo ra sự khác biệt.
Bạn đọc hộp thoại khi lần đầu tiên bạn tải HĐH GNU / Linux và nhập mật khẩu người dùng của mình. "Về Quyền lực và Trách nhiệm." Đó là điều mà các nhà phát triển giỏi làm khi họ cung cấp miễn phí "mã nguồn" của các thiết bị này.
Tôi cảm thấy rằng vấn đề OpenSSL cũng là một vấn đề cộng đồng vì mã lẽ ra phải được kiểm tra tốt hơn kể từ khi nó mở và tôi đồng ý 100% với ý kiến rằng một nguồn mở an toàn hơn vì ít nhất một người có thể biết được các lỗi phát sinh của tương tự trong khi cái riêng không biết nó có thể an toàn hay không an toàn như thế nào.
Vấn đề không nhất thiết là cộng đồng OpenSSL, vấn đề thực sự là chính cộng đồng này đã không kêu gọi việc cập nhật phiên bản của phần mềm đó như một ưu tiên hàng đầu cho tất cả các bản phân phối.
Và nhân tiện, từ nhánh 1.0.0 và 0.9.8, ngoài phiên bản 1.0.1g, chúng là các phiên bản mà chúng không bị ảnh hưởng bởi lỗi nói trên.
bài viết rất hay!
May mắn thay, họ đã cập nhật OpenSSL trong các bản phân phối như Debian GNU / Linux (nhân tiện, rất nhẹ), nhưng trong Windows, có FRIOLERA 800 MB (điều tồi tệ là chúng đều là các bản vá lỗi như mọi khi và chúng không bao giờ cụ thể như của các bản phân phối GNU / Linux).
Dù sao, tôi nghĩ rằng lỗi là từ chính SSL chứ không phải từ OpenSSL (nếu nó là từ AES hoặc WPA-PSK, câu chuyện sẽ khác).
Rất đồng tình rằng, trong các hệ thống kín có thể có nhiều vấn đề xảy ra trong vài năm mà chúng ta không biết và tội phạm có thể lợi dụng để ăn cắp, và điều tồi tệ nhất là khi chúng bị phát hiện và báo cáo, chúng phải mất nhiều thời gian để giải quyết.
Thú vị
Mã nguồn mở hoặc mã nguồn mở tự động thu được phúc lợi xã hội tối đa. Mã đóng; biểu hiện của khả năng tìm kiếm tư lợi của một số ít người phụ thuộc. Tôi buồn cười khi liên hệ điều này với ý tưởng kinh tế của Adam Smith về "bàn tay vô hình", theo cách mà tôi cho là rất mâu thuẫn.