Let's talk about security

Альтернатива какая?

В закрытом коде винды и макоси закладок не меньше, чем в линуксе. Где-то так.

Я не знаю, какая альтернатива, возможно, аудит кода открытых систем? Какие-то стандарты безопасности, описание теми «кто в теме» сценариев и схем, которым должны соответствовать те или иные подходы в разработке. Выработка концепций, например, трастовости мейнтейнеров или анализаторы кода.

О нет, опять

Олсо, или АНБ, или NSA, или NBA. Но точно не anb

АНБ, конечно. Мозг неправильно транслитерировал с великого и могучего.

коммиты принимаются от разных людей

КАВО? Тут даже внутри конторы сидишь изучаешь, что там напушили, а принимать реквесты просто от левых чуваков тыкая левой пяткой на аппрув, это какие-то сказки. Ты видимо ни один проект не вёл, где несколько людей участвуют. Не, шансы есть конечно, что-то хитро пропихнуть, но шансов что это кто-то заметит тоже больше, чем если софт пилится под одеялом и никто его не видит.

На чем основывается мнение

Чьё мнение? Вот, например, ты с чего это взял?

На чем основывается мнение

Чьё мнение? Вот, например, ты с чего это взял?

Мнение о том, что свободные программы более безопасны? Это распространенное мнение. Основывается на подобных убеждениях, озвученных даже тобой:

а принимать реквесты просто от левых чуваков тыкая левой пяткой на аппрув, это какие-то сказки.

Мейнтейнеры по-твоему какие-то святые люди?

Это распространенное мнение

Ну так, а ты-то конкретно где, от кого это услышал? Или всё таки это ты сам себе придумал?

Основывается на подобных убеждениях, озвученных даже тобой

Из сказанного мною можно наверное сделать вывод, что пропихнуть коммит в проект не так просто как ты думаешь и что это будет более заметно. Это конечно хорошо и повышает секурность, но делает ли это программы более безопасными, по сравнению с закрытими? Я бы не взялся такое утверждать.

Ну так, а ты-то конкретно где, от кого это услышал? Или всё таки это ты сам себе придумал?

ОБС.

Из сказанного мною можно наверное сделать вывод, что пропихнуть коммит в проект не так просто как ты думаешь и что это будет более заметно. Это конечно хорошо и повышает секурность, но делает ли это программы более безопасными, по сравнению с закрытими? Я бы не взялся такое утверждать.

А я бы взялся, но не буду.

На исходники под свободными лицензиями можно натравить coverity. Coverity очень крута. К тому же результаты у них на сайте может посмотреть то угодно. А вот для закрытых надо покупать и ценник там для одиночек и мелких коллективов не очень гуманный. К тому же бэкдор в закрытом продукте может быть вполне фичей, а не результатом происков какиров. Так что мир как был цветным, а не ч/б, так он им и остаётся.

На чем основывается мнение, что свободные программы более безопасны?

Где такое мнение? В таком контексте про open source не слышал. Могут говорить, про отсутствие закладок (вернее про возможность эти сами закладки обнаружить), но это очень опосредовано с «безопасностью».

Относительно безопасны программы прошедшие аудит безопасности, независимо от того открыт их код или закрыт.

А аудит безопасности, в свою очередь, может пройти только открытое ПО. Ибо если код закрыт, то компания код всегда может втихую от публики кардинально поменять и об этом никто не узнает.

проприетарный блоб - мы уже не может говорить о том, что такая система безопасна

можем, пока блоб в достаточной степени изолирован

Я не знаю, какая альтернатива, возможно, аудит кода открытых систем?

Иногда проводится. Например, трукрипт подвергали аудиту. Нашли кое-какие слабые места, но ничего серьезного по большому счету.

Какие-то стандарты безопасности, описание теми «кто в теме» сценариев и схем, которым должны соответствовать те или иные подходы в разработке.

Где-то на форуме (может и не на лор) попадалась инфа, что ФCБ и ФCTЭК разрабатывают стандарт на сертифицируемый компилятор C++. На практике это будет означать, что не только за линукс-дистрибутив в общем, вроде астры, но и за средства разработки для него - gcc или clang придется платить какой-нибудь конторе совершенно отдельные бабки.

В первую очередь такое мнение основывается на том, что свободный код можно в любой момент форкнуть и переделать под свои нужды. Да, это тяжело, да, это неблагодарная работа, но сама возможность сделать «свой Linux с блэкджеком и шлюхами» прельщает.

Второе — это огромная на сегодняшний момент аудитория. Даже если производитель нужного людям оборудования пропихнёт свой блоб с «бэкдором» и не даст API, высока вероятность, что либо «железку» подвергнут обратной разработке, либо конкурент выпустит уже полностью (или не очень) свободный аналог.

Ну и последнее — большинство попыток внедрить «бэкдор» в какой-нибудь крупный проект с открытым кодом обречены на провал, ибо поднимется нешуточный вой. От всего не спасёт, зато самых наглых очень даже можно осадить.

Это, конечно же, моё мнение, и оно может не совпадать с реальностью.

Почему openbsd считается типа самой секьюрной? Из-за дефолтных настроек? Или там время от времени проводят аудит кода независимые конторы?

Из-за пиара. На самом деле она не такая уж и безопасная, я даже слышал, что они «бэкдоры» от АНБ пихали.

я даже слышал, что они «бэкдоры» от АНБ пихали.

ЕМНИП, они от них успешно отбрыкивались.

anb

Арабский национальный банк?