本文標題是Eric Raymond在他的書中的引文 大教堂和集市,它被認為是開源的主要口頭禪之一。 從那以後,萊納斯定律(就是埃里克所說的)受到了各種各樣的攻擊,特別是 什麼是謬論 因為錯誤的可見性與查看代碼的眼睛數量無關,還有其他原因。
一周前,錯誤混亂跳了起來 心臟出血漏洞 OpenSSL(開源項目)的影響及其影響,例如( 這個蘋果用戶)很快就批評了咒語以及為之辯護的人。 如果發現 又一個失敗 在iOS代碼中,我們四處說“哈哈哈,接一個。” 但是如果發現了 GnuTLS中的錯誤已持續10年未被發現我們說“至少我們已經解決了”。
所以 埃里克(Eric)發表了一篇文章 弄清楚。 萊納斯的法律一直有效。
埃里克(Eric)說,批評家犯了這樣的錯誤:過分強調他們可以看到的錯誤,而不是強調在同等封閉的軟件中看不到的安全漏洞更嚴重但未被發現的可能性很高。 當他說“乍看之下”時,他的意思不是審核的人數,而是 假設的多樣性。 少數有不同想法的人可能比擁有盲區的軍隊更好。
在過去的幾個月中,我了解到有關住宅和小型企業的互聯網路由器上專有固件中安全漏洞的嚴重性的一些知識,這些漏洞會使他們的頭髮捲起來……朋友們不要讓他們的朋友運行工廠固件。 您不希望信任除OpenWRT或其變體之一以外未經審核的任何事物。 然而,下一次在這些開源項目中出現安全漏洞時,我們將看到那部老電影的重播,另一輪人們抱怨該開源電影行不通。 具有諷刺意味的是,發生這種情況的原因恰恰是開源過程確實起作用,而更嚴重的錯誤則在某個地方的封閉路由器固件中徘徊。
同樣的例子也適用於Heartbleed。 專有SSL / TLS Blob的缺陷歷史記錄是什麼? 不知道廠商什麼也沒說。 不能對代碼的質量說什麼,因為它無法審計。 發送安排時的速度也很出色。 在Linux系統上已經有針對Heartbleed的修復程序。 在專有系統中,修復可能需要更長的時間。 那是因為許多封閉的軟件業務模型都要求升級是一個昂貴的高摩擦過程,並包含在批准要求,費用和法律限制中。 在這裡,開放源代碼的安排可以在幾分鐘之內到達,因為沒有人試圖用它來賺錢。
,我剛剛在一些網站(僅那些支持https的網站)上更改了密碼。 除了給他錢。 他們真的應該得到它。
這就是為什麼不建議所有操作系統都有其缺陷的“專有操作系統迷”
唯一改變的是如何處理問題的哲學
http://i.imgur.com/UOFAbqy.jpg
我喜歡這張圖片,可惜評論無法投票
他們可以將DIsqus用作評論系統。
關於Disqus的壞處是它的用戶管理系統確實很差,並且也無法監視他們使用的電子郵件或評論來自哪個IP的評論。
映像中有一個錯誤:在GNU / Linux更新中,好消息是,通常更新不會像Windows和Mac那樣佔用大量MB。此外,Windows Update作為更新管理器,真令人失望。
我有問題問題是我們在不了解它們的本質和實際用途的情況下使用這些獨創性的設備,不是每個人都可以學習編程,但是現有的程序員中的一些會有所作為。
當您第一次加載GNU / Linux操作系統並輸入用戶密碼時,您將閱讀該對話框。 “關於權力和責任”。 當優秀的開發人員免費提供這些設備的“源代碼”時,它們就是這樣做的。
我認為OpenSSL問題也是一個社區問題,因為自從代碼開放以來,應該對代碼進行更好的審核,並且我同意100%的觀點,認為開源是更安全的,因為至少有一個人可以了解代碼的誕生錯誤同樣,私有的人不知道它有多安全或不安全。
問題不一定是OpenSSL社區,實際上是社區本身並沒有敦促他們更新所述軟件的版本,這是所有發行版的頭等大事。
順便說一下,從1.0.0和0.9.8分支開始,除了版本1.0.1g之外,它們都是不受該bug影響的版本。
很好的文章!
幸運的是,他們在Debian GNU / Linux之類的發行版中更新了OpenSSL(順便說一句,非常輕巧),但是在Windows中,它提供了800 MB的FRIOLERA(不好的是,它們和以往一樣都是相同的補丁,並且從未像GNU / Linux發行版的那些)。
無論如何,我認為該錯誤來自SSL本身,而不是來自OpenSSL(如果它來自AES或WPA-PSK,情況將有所不同)。
很好,在封閉系統中,可能會存在許多我們不知道的問題,而且犯罪分子可能會利用它們進行竊取,最糟糕的是,當他們被發現並報告後,便需要永遠解決。
有趣
開源或開源會自動獲得最大的社會福利。 封閉代碼; 尋求能力的能力的表達表達了少數acosta的家屬。 將此與亞當·斯密的經濟思想“看不見的手”聯繫起來時,我感到很笑,我當然認為這很矛盾。