История изменений
Исправление den73, (текущая версия) :
Да это я сам и назвал только что - Crypto AG. Не перпендикулярно то, офицером какой страны являются авторы критических частей кода, в школу какой страны ходят их дети (институт заложничества никто не отменял, он ещё в Древнем Риме был). Короче говоря, критически важно, КТО является автором кода. Так же как и на охране границы. Есть солдат, есть ружьё, он охраняет границу. Но если солдат предал, то могут быть проблемы. Т.е. важен не только факт наличия ружья, но и устремления того человека, который это ружьё держит. Каждый программист - это в общем-то солдат с атомной миной, которую он может по своему пожеланию заложить туда, где он служит. В случае СПО мы практически ничего не знаем про авторов того кода, которым мы пользуемся.
У МВД и спецслужб есть такое понятие, как внедрение в организацию. Мы теперь можем представить себе, что все адепты Столлмана - это революционная организация и что они изо всех сил старались именно сделать своё ПО без закладок от АНБ, и поставили себе это целью жизни. Но даже в этом случае АНБ, пользуясь своими приёмами, обязательно внедрится в организацию, как только эта организация начнёт на что-то влиять. Просто потому, что таковы алгоритмы их работы. В реальном же мире разработчики линукса явно не чрезмерно утруждают себя безопасностью, судя по количеству дыр и по тому, что их поток не иссякает с годами. Т.е. может быть всё что угодно, вплоть до того, что АНБ возглавляет линукс-движение, или что они перехватили управление на определённом этапе. Конечно, открытость кода и записанность истории способствует тому, что чисто теоретически таких вредителей легче выявить. Но при этом башдор всё же 20 лет удержался, значит, плохо искали, не хотели искать, а может быть, и намеренно уклонялись от поиска. Есть ли, к примеру, «аллея славы» тех, кто закладывал уязвимости? Проводится ли какая-то оценка репутации автора кода и учёт ситуации с безопасностью того кода, который он создавал раньше? Где сейчас работает создатель heartbleed?
Так вот, если некая организация в рамках СПО скоординированно внедряет закладки, то нам будет тяжело с этим бороться.
Исправление den73, :
Да это я сам и назвал только что - Crypto AG. Не перпендикулярно то, офицером какой страны являются авторы критических частей кода, в школу какой страны ходят их дети (институт заложничества никто не отменял, он ещё в Древнем Риме был). Короче говоря, критически важно, КТО является автором кода. Так же как и на охране границы. Есть солдат, есть ружьё, он охраняет границу. Но если солдат предал, то могут быть проблемы. Т.е. важен не только факт наличия ружья, но и устремления того человека, который разработал этот код. Каждый программист - это в общем-то солдат с атомной миной, которую он может по своему пожеланию заложить туда, где он служит. В случае СПО мы практически ничего не знаем про авторов того кода, которым мы пользуемся.
У МВД и спецслужб есть такое понятие, как внедрение в организацию. Мы теперь можем представить себе, что все адепты Столлмана - это революционная организация и что они изо всех сил старались именно сделать своё ПО без закладок от АНБ, и поставили себе это целью жизни. Но даже в этом случае АНБ, пользуясь своими приёмами, обязательно внедрится в организацию, как только эта организация начнёт на что-то влиять. Просто потому, что таковы алгоритмы их работы. В реальном же мире разработчики линукса явно не чрезмерно утруждают себя безопасностью, судя по количеству дыр и по тому, что их поток не иссякает с годами. Т.е. может быть всё что угодно, вплоть до того, что АНБ возглавляет линукс-движение, или что они перехватили управление на определённом этапе. Конечно, открытость кода и записанность истории способствует тому, что чисто теоретически таких вредителей легче выявить. Но при этом башдор всё же 20 лет удержался, значит, плохо искали, не хотели искать, а может быть, и намеренно уклонялись от поиска. Есть ли, к примеру, «аллея славы» тех, кто закладывал уязвимости? Проводится ли какая-то оценка репутации автора кода и учёт ситуации с безопасностью того кода, который он создавал раньше? Где сейчас работает создатель heartbleed?
Исправление den73, :
Да это я сам и назвал только что - Crypto AG. Не перпендикулярно то, офицером какой страны являются авторы критических частей кода, в школу какой страны ходят их дети (институт заложничества никто не отменял, он ещё в Древнем Риме был). Короче говоря, критически важно, КТО является автором кода. Так же как и на охране границы. Есть солдат, есть ружьё, он охраняет границу. Но если солдат предал, то могут быть проблемы. Каждый программист - это в общем-то солдат с атомной миной, которую он может по своему пожеланию заложить туда, где он служит.
У МВД и спецслужб есть такое понятие, как внедрение в организацию. Мы теперь можем представить себе, что все адепты Столлмана - это революционная организация и что они изо всех сил старались именно сделать своё ПО без закладок от АНБ, и поставили себе это целью жизни. Но даже в этом случае АНБ, пользуясь своими приёмами, обязательно внедрится в организацию, как только эта организация начнёт на что-то влиять. Просто потому, что таковы алгоритмы их работы. В реальном же мире разработчики линукса явно не чрезмерно утруждают себя безопасностью, судя по количеству дыр и по тому, что их поток не иссякает с годами. Т.е. может быть всё что угодно, вплоть до того, что АНБ возглавляет линукс-движение, или что они перехватили управление на определённом этапе. Конечно, открытость кода и записанность истории способствует тому, что чисто теоретически таких вредителей легче выявить. Но при этом башдор всё же 20 лет удержался, значит, плохо искали, не хотели искать, а может быть, и намеренно уклонялись от поиска. Есть ли, к примеру, «аллея славы» тех, кто закладывал уязвимости? Проводится ли какая-то оценка репутации автора кода и учёт ситуации с безопасностью того кода, который он создавал раньше? Где сейчас работает создатель heartbleed?
Исправление den73, :
Да это я сам и назвал только что - Crypto AG. Не перпендикулярно то, офицером какой страны являются авторы критических частей кода, в школу какой страны ходят их дети (институт заложничества никто не отменял, он ещё в Древнем Риме был). Короче говоря, критически важно, КТО является автором кода. Так же как и на охране границы. Есть солдат, есть ружьё, он охраняет границу. Но если солдат предал, то могут быть проблемы. Каждый программист - это в общем-то солдат с атомной миной, которую он может по своему пожеланию заложить туда, где он служит.
У МВД и спецслужб есть такое понятие, как внедрение в организацию. Мы теперь можем представить себе, что все адепты Столлмана - это революционная организация и что они изо всех сил старались именно сделать своё ПО без закладок от АНБ, и поставили себе это целью жизни. Но даже в этом случае АНБ, пользуясь своими приёмами, внедрится в организацию. В реальном же мире разработчики линукса явно не чрезмерно утруждают себя безопасностью, судя по количеству дыр и по тому, что их поток не иссякает с годами. Т.е. может быть всё что угодно, вплоть до того, что АНБ возглавляет линукс-движение, или что они перехватили управление на определённом этапе. Конечно, открытость кода и записанность истории способствует тому, что чисто теоретически таких вредителей легче выявить. Но при этом башдор всё же 20 лет удержался, значит, плохо искали, не хотели искать, а может быть, и намеренно уклонялись от поиска. Есть ли, к примеру, «аллея славы» тех, кто закладывал уязвимости? Проводится ли какая-то оценка репутации автора кода и учёт ситуации с безопасностью того кода, который он создавал раньше? Где сейчас работает создатель heartbleed?
Исправление den73, :
Да это я сам и назвал только что - Crypto AG. Не перпендикулярно то, офицером какой страны являются авторы критических частей кода, в школу какой страны ходят их дети (институт заложничества никто не отменял, он ещё в Древнем Риме был). Короче говоря, критически важно, КТО является автором кода. Так же как и на охране границы. Есть солдат, есть ружьё, он охраняет границу. Но если солдат предал, то могут быть проблемы. Каждый программист - это в общем-то солдат с атомной миной, которую он может по своему пожеланию заложить туда, где он служит.
У спецслужб есть такое понятие, как внедрение в организацию. Мы теперь можем представить себе, что все адепты Столлмана - это революционная организация и что они изо всех сил старались именно сделать своё ПО без закладок от АНБ, и поставили себе это целью жизни. Но даже в этом случае АНБ, пользуясь своими приёмами, внедрится в организацию. В реальном же мире разработчики линукса явно не чрезмерно утруждают себя безопасностью, судя по количеству дыр и по тому, что их поток не иссякает с годами. Т.е. может быть всё что угодно, вплоть до того, что АНБ возглавляет линукс-движение, или что они перехватили управление на определённом этапе. Конечно, открытость кода и записанность истории способствует тому, что чисто теоретически таких вредителей легче выявить. Но при этом башдор всё же 20 лет удержался, значит, плохо искали, не хотели искать, а может быть, и намеренно уклонялись от поиска. Есть ли, к примеру, «аллея славы» тех, кто закладывал уязвимости? Проводится ли какая-то оценка репутации автора кода и учёт ситуации с безопасностью того кода, который он создавал раньше? Где сейчас работает создатель heartbleed?
Исходная версия den73, :
Да это я сам и назвал только что - Crypto AG. Не перпендикулярно то, офицером какой страны являются авторы критических частей кода, в школу какой страны ходят их дети (институт заложничества никто не отменял, он ещё в Древнем Риме был). Короче говоря, критически важно, КТО является автором кода.
У спецслужб есть такое понятие, как внедрение в организацию. Мы теперь можем представить себе, что все адепты Столлмана - это революционная организация и что они изо всех сил старались именно сделать своё ПО без закладок от АНБ, и поставили себе это целью жизни. Но даже в этом случае АНБ, пользуясь своими приёмами, внедрится в организацию. В реальном же мире разработчики линукса явно не чрезмерно утруждают себя безопасностью, судя по количеству дыр и по тому, что их поток не иссякает с годами. Т.е. может быть всё что угодно, вплоть до того, что АНБ возглавляет линукс-движение. Конечно, открытость кода и записанность истории способствует тому, что чисто теоретически таких вредителей легче выявить. Но при этом башдор всё же 20 лет удержался, значит, плохо искали, не хотели искать, а может быть, и намеренно уклонялись от поиска.