本文的标题是Eric Raymond在他的书中的引文 大教堂和集市,它被认为是开源的主要口头禅之一。 从那以后,莱纳斯的定律(就是埃里克所说的)受到了各种各样的攻击,特别是 什么是谬论 因为错误的可见性与查看代码的眼睛数量无关,还有其他原因。
一周前,错误混乱跳了起来 心脏出血漏洞 OpenSSL(开源项目)的影响及其影响,例如( 这个苹果用户)很快就批评了咒语以及为之辩护的人。 如果发现 再有一个失败 在iOS程式码中,我们说的是“哈哈哈,拿那个。” 但是如果发现了 GnuTLS中的错误已持续10年未被发现我们说“至少我们已经解决了”。
所以 埃里克(Eric)发表了一篇文章 弄清楚。 莱纳斯定律一直有效
埃里克(Eric)说,批评家犯了这样的错误:过分强调他们可以看到的错误,而不是强调在同等封闭的软件中看不到的安全漏洞更严重但未被发现的可能性很高。 当他说“乍看之下”时,他指的不是审计人数,而是 假设的多样性。 少数有不同想法的人可能比拥有盲区的军队更好。
在过去的几个月中,我了解到有关住宅和小型企业的互联网路由器上专有固件中安全漏洞的严重性的一些知识,这些漏洞会使他们卷起头发……..朋友们不要让他们的朋友运行工厂固件。 您不希望信任除OpenWRT或其变体之一以外未经审核的任何事物。 但是,下一次在那些开源项目中出现安全漏洞时,我们将看到那部老电影的重播,另一回合的人们争吵说开源无效。 具有讽刺意味的是,发生这种情况的原因恰恰是开源过程确实起作用,而更严重的错误则在某个地方的封闭路由器固件中徘徊。
同样的例子也适用于Heartbleed。 专有SSL / TLS Blob的缺陷历史是什么? 不知道厂商什么也没说。 不能对代码的质量说什么,因为它无法审计。 发送安排时的速度也很出色。 在Linux系统上已经有针对Heartbleed的修复程序。 在专有系统中,修复可能需要更长的时间。 这是因为许多封闭的软件业务模型都要求升级是一个昂贵的高摩擦过程,并包含在批准要求,费用和法律限制中。 在开放源代码中,修复程序可以在几分钟之内完成,因为没有人试图用它来赚钱。
,我刚刚在一些网站(仅那些支持https的网站)上更改了密码。 除了帮他钱。 他们真的应该得到它。
这就是为什么要成为“专有操作系统的粉丝”并不方便的原因,所有系统都有其缺陷
唯一改变的是如何处理问题的哲学
http://i.imgur.com/UOFAbqy.jpg
我喜欢这张图片,可惜评论无法投票
他们可以将DIsqus用作评论系统。
关于Disqus的坏处是它的用户管理系统确实很差,而且您不能监视他们使用的电子邮件或来自哪个IP的评论。
映像中有一个错误:在GNU / Linux更新中,好消息是,一般而言,更新不会像Windows和Mac那样占用大量MB。此外,Windows Update作为更新管理器,真令人失望。
我有问题问题是,我们使用这些聪明才智的设备甚至不了解它们的本质和实际功能,不是每个人都可以学习编程,但是现有的程序员中的一些人会有所作为。
当您首次加载GNU / Linux操作系统并输入用户密码时,便会阅读该对话框。 “关于权力和责任”。 优秀的开发人员在免费提供这些设备的“源代码”时就是这样做的。
我认为OpenSSL问题也是一个社区问题,因为自从代码开放以来,应该对代码进行更好的审核,并且我同意100%的观点,认为开源是更安全的,因为至少有一个人可以了解代码的诞生错误。同样,私有的人不知道它有多安全或不安全。
问题不一定是OpenSSL社区,实际上是社区本身并未要求更新所述软件的版本作为所有发行版的头等大事。
顺便说一下,从1.0.0和0.9.8分支开始,除了版本1.0.1g之外,它们都是不受该bug影响的版本。
很好的文章!
幸运的是,他们在Debian GNU / Linux之类的发行版中更新了OpenSSL(顺便说一句,非常轻巧),但是在Windows中,它提供了800 MB的FRIOLERA(不幸的是,它们与往常一样是相同的补丁,并且从未像GNU / Linux发行版的那些)。
无论如何,我认为该错误来自SSL本身,而不是来自OpenSSL(如果它来自AES或WPA-PSK,情况将有所不同)。
完全同意,在封闭的系统中,可能会存在许多我们不知道的问题,而且犯罪分子可能会利用这些问题进行窃取,最糟糕的是,当他们被发现并报告后,便需要永远解决。
有趣
开源或开源会自动获得最大的社会福利。 封闭代码; 为少数受抚养者的利益寻求自我利益的能力的表达。 将此与亚当·斯密的经济思想“看不见的手”联系起来时,我感到很笑,我当然认为这很矛盾。