История изменений
Исправление Pinkbyte, (текущая версия) :
а вообще, дай-ка мне официальную гарантию отсутствия уязвимости в любой выбранной тобой библиотеки
ок, после того как ты дашь мне гарантию что в либе, которая лежит отдельно их найти также легко, как и в либе, которая статически прилинкована к бинарнику и которую еще надо выявить
это всего лишь значит, что никто кроме говядины не может их использовать
В текущем виде - да, т.к. waker сам сказал что там форкнутые либы, которые без deadbeef тупо не соберутся. Речь не об этом.
Предположим, deadbeef взяли в дерево в текущем состоянии. Если внести изменения в библиотеку, сломав совместимость с другими пакетами(не со злого умысла, просто так надо), но не трогая возможные уязвимости(которые опять-таки еще надо выявить) мы получаем проблему: в отдельно лежащей либе уязвимость уже вроде как пофиксили, а про вложенную в deadbeef(который допустим приняли в дерево) - забыли. Более того - необходимо проделать дополнительную работу по фиксу этой уязвимости(старый патч может не наложиться - исходный код-то - другой).
И если о каждой такой либе помнить(и помнить - куда она «вложена») - никаких мэйнтэйнеров не хватит
P.S. О чём и говорил Diego в своем блоге, цитата: «there are duplicated bugs that need to be fixed twice»
Исправление Pinkbyte, :
а вообще, дай-ка мне официальную гарантию отсутствия уязвимости в любой выбранной тобой библиотеки
ок, после того как ты дашь мне гарантию что в либе, которая лежит отдельно их найти также легко, как и в либе, которая статически прилинкована к бинарнику и которую еще надо выявить
это всего лишь значит, что никто кроме говядины не может их использовать
В текущем виде - да, т.к. waker сам сказал что там форкнутые либы, которые без deadbeef тупо не соберутся. Речь не об этом.
Предположим, deadbeef взяли в дерево в текущем состоянии. Если внести изменения в библиотеку, сломав совместимость с другими пакетами(не со злого умысла, просто так надо), но не трогая возможные уязвимости(которые опять-таки еще надо выявить) мы получаем проблему: в отдельно лежащей либе уязвимость уже вроде как пофиксили, а про вложенную в deadbeef(который допустим приняли в дерево) - забыли. Более того - необходимо проделать дополнительную работу по фиксу этой уязвимости(старый патч может не наложиться - исходный код-то - другой).
И если о каждой такой либе помнить - никаких мэйнтэйнеров не хватит
P.S. О чём и говорил Diego в своем блоге, цитата: «there are duplicated bugs that need to be fixed twice»
Исходная версия Pinkbyte, :
а вообще, дай-ка мне официальную гарантию отсутствия уязвимости в любой выбранной тобой библиотеки
ок, после того как ты дашь мне гарантию что в либе, которая лежит отдельно их найти также легко, как и в либе, которая статически прилинкована к бинарнику и которую еще надо выявить
это всего лишь значит, что никто кроме говядины не может их использовать
В текущем виде - да, т.к. waker сам сказал что там форкнутые либы, которые без deadbeef тупо не соберутся. Речь не об этом.
Предположим, deadbeef взяли в дерево в текущем состоянии. Если внести изменения в библиотеку, сломав совместимость с другими пакетами(не со злого умысла, просто так надо), но не трогая возможные уязвимости(которые опять-таки еще надо выявить) мы получаем проблему: в отдельно лежащей либе уязвимость уже вроде как пофиксили, а про вложенную в deadbeef(который допустим приняли в дерево) - забыли. Более того - необходимо проделать дополнительную работу по фиксу этой уязвимости(старый патч может не наложиться - исходный код-то - другой).
И если о каждой такой либе помнить - никаких мэйнтэйнеров не хватит