LINUX.ORG.RU
ФорумTalks

Почему вы доверяете бинарным репозиториям?

 , ,


2

1

Всегда было интересно спросить, у тех, кто постоянно уповает на всевозможные потенциальные закладки в проприетарном программном обеспечении, и у тех, кто особо рьяно относится к своей безопасности\анонимности\приватности\етк, но при этом сидит хоть и на opensource, но бинарной дистрибуции ПО

  • А почему вы собственно уверены, что бинарные пакеты программ (да и ядра) в репозиториях вашего дистрибутива соответствуют исходным кодам этого самого ПО? Ведь даже в теории, чтобы это проверить, необходимо знать полное сборочное окружение, в котором собирались пакеты, но эта информация не поставляется майнтенерами. На практике же, этого никто и никогда не проверяет.

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла? На чем основана ваша уверенность в том, что в вашей gnu/linux ос, которую вы даже не собирали самостоятельно, нет закладок?

Ответ на: комментарий от BigAlex

Можно еще добросить, что некоммерческие проекты основанные на миротократии плохо защищены от социальной инженерии, а стать мейнтейнером пакета в том же Debian достаточно просто, при этом старые мейнетейнеры уходят регулярно и можно подхватить пакет с большой аудиторией. Но тут уже работает схема с неуловимым Джо.

BigAlex ★★★
()
Последнее исправление: BigAlex (всего исправлений: 1)
Ответ на: комментарий от BigAlex

При этом внутри коммерческой компании есть конкретные сотрудники и начальники, которые имеют персональную ответственность за этот бинарник или сервис, т.е. люди действительно отвечают своей зарплатой, должностью и карьерой, в отличии от тех, чей пример вы привели.

Ниразу не слышал про пустые коридоры m$.

anc ★★★★★
()
Ответ на: комментарий от BigAlex

Выпуск некачественной продукта или «плохого» бинарника в составе продукта будет стоить условный миллиард и доли рынка, которая отойдет конкуренту.

О, да... man lovsan

однако при беглом экскурсе в историю оказывается, что в этих проектов нет ресурсов не только на security аудит исходников софта

Я уже говорил lovsan ?

Все можно свести к простой аналогии - вы бы легли под нож хирургу с дипломом, который официально на фуллтайме работает в больнице

и отправляет в морг по трупу в неделю

это значит, что они имеют ... разную ответственность.

Опять lovsan: И много индусов уволили? Хотя... та кто ж их считает...

крупная софтовая корпорация отвечает сама перед собой миллиардной капитализацией.

Вопрос знатокам: Почему решения проблемы от «крупной софтовой корпорации», прилетают позже чем от мелких разрабов антивирей которые даже не владеют исходниками продукции «крупной софтовой корпорации»?

anc ★★★★★
()
Ответ на: комментарий от anc

Мне очень нравится, что вы думаете, что я все про Microsoft и Windows, а допустим, не тот же Red Hat и RHEL. Ну, да ладно.

Хорошо, lovsan - 100_000 инфицированных компьютеров по всему миру в 2003 году. Давайте сядем и посчитаем все remote code execution уязвимости c начала 2000х в самом ядре Linux + хотя бы каком-нибудь apache (вполне был актуален на начало 2000х).

Почему решения проблемы от «крупной софтовой корпорации», прилетают позже чем от мелких разрабов антивирей которые даже не владеют исходниками продукции «крупной софтовой корпорации»?

Потому что по состоянию на 2003 год у винды не было встроенного (бесплатного) антривируса и патчить приходилось внезапно саму ОС и распространять патчи через Windows Update который доступен только при наличии лицензии или накатив таблетку с вредоносным кодом. Я соглашусь, что наличие сырцов в подобных ситуациях - преимущество, можно запилить какой-то воркараунд самому или его кто-то запилит из сообщества пока решение делает вендор.

Но опять таки, давайте про что-то более актуальное, например, уязвимости класса meltdown и spectre. Это намного лучший пример, потому что проблема затрагивает все ОС. Сорудники коммерческих компаний или волонтеры их обнаружили? По meltdown майкрософт выпустил апдейт 3 января 2018, linux 4.15 с фиксами вышел только 28 января! Все сидели и ждали пока исправления появятся в ванильном ядре и сделают его те самые сотрудники крупных корпораций, потому что ни один волонтер ни в одном Debian самостоятельно ничего сделать не могли.

BigAlex ★★★
()
Последнее исправление: BigAlex (всего исправлений: 3)
Ответ на: комментарий от BigAlex

Хорошо, lovsan - 100_000 инфицированных компьютеров по всему миру в 2003 году.

Плюс ещё 100000*100000 которые не посчитали.

например, уязвимости класса meltdown и spectre. Это намного лучший пример, потому что проблема затрагивает все ОС.

Нет, это «не лучший пример». В качестве сравнения они совершенно не уместны. Потому что они сами не ползают и не останавливают к люлям работу в отличии от lovsan и т.п.

По meltdown майкрософт выпустил апдейт 3 января 2018, linux 4.15 с фиксами вышел только 28 января!

Вы сейчас точно про баги камня говорите?

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.