Европа, безопасный софт и опенсорс

а разработчики убийственного софта гуляют на свободе

Кто, например?

Ведь могут быть очень серьезные катастрофы, с многочисленными жертвами

А можно реальных примеров?

По теме - против. Безопасность это вообще иллюзия. В итоге весь этот дроч на нее,который наблюдаем последние годы, не особо то и помог в борьбе со взломами,утечками и прочими майнерами, но зато добавило кучу дебильных ограничений,узаконенные массовые слежки и прочие прелести типа несъемных акков. И теперь мы выбираем устройства не столько по функционалу,сколько по тому,насколько там легко разблокировать загрузчик/выпилить бесячие фичи etc.

Пока неизвестно. Но вот если например взять обновление виндоус, которое личные файлы пользователей уничтожило. Мы же не знаем, сколько людей со слабым сердцем не выдержали стресса и умерли? А может еще и ссоры семейные разразились из-за этого, которые переросли в криминал, потому что супруги решили, что кто-то из них стер файл другого нарочно. А в суд они не подают из-за стереотипа, что вот софт глючит иногда, и это ОК и норма… Раньше вот насилие в отношение женщин гораздо реже выявлялось, и это считалось нормой в традиционном обществе.

Есть же отказ от ответственности, как и у любого инструмента. Если топорище у топора сломается и лезвие травму нанесёт, тот же самый случай - хочешь судись, но докажи, что и технику безопасности соблюдал и по назначению использовал и т.д.

Скорее всего такая же хрень как гдпр, прикроет чью-то жопу и будет кормить юристов.

докажи, что и технику безопасности соблюдал и по назначению использовал и т.д.

а в чем проблема воспроизвести порчу данных конкретным апдейтом? Так можно до того договориться, баги не надо исправлять, ведь ты попробуй докажи…

Это шум, и похоже, что первоапрельский. В реальном мире астразенека не отвечает за свою кривую вакцину, так уж он устроен.

В реальном мире астразенека не отвечает за свою кривую вакцину, так уж он устроен.

Там же уже было дофига исков от пострадавших, и я точно помню, что контора создала специальную комиссию, которая определяла, кому выплатят компенсацию. Понятно, что подавляющую часть пострадавших капиталист отфутболит, но сказать, что совсем не отвечает, нельзя.

Т.е. вот есть например большой и толстый коммерческий проект, и в нем используется какая-то библиотека из PyPI, и с очередным апдейтом проприетарного софта тянется новая версия этой библиотеки, и если в этой новой версии есть новая уязвимость, то PSF якобы можно привлечь к ответственности за эту уязвимость.

По идее в таком случае ответственность должна лежать на разработчиках проприетарного софта. Они могли проверить библиотеку перед обновлением, исправить код, выбрать другую библиотеку или написать своё.

Если это критически важный софт, то должен быть стандарт по отказоустойчивости и безопасности. Если это реклама над шаурмячной), то какая разгица на чем оно работает

ковидобесие

AstraZeneca

капиталисты

Ага, А Нэнси Пелоси - талантливый трейдер.

Дык чо, переходим на военные компиляторы?

А вы как относитесь к обеспечению безопасности кода по закону?

Как к бреду.

Мы же не знаем, сколько людей со слабым сердцем не выдержали стресса и умерли?

Ну так если не знаем, то может никто и не умер? Может наоборот, они осознали что Форточка зло, поставили Линукс и теперь радуются жизни?

По теме, пока читал думал что наконец начали переход на формальную верификацию софта, но ошибся.

Почтальонов 20 лет по ошибке сажали в тюрьму из-за «кривого» ПО

Вот бы кто ответил за кривой драйвер интела, который убивал экраны в ноутбуках линуксоидов.

Похоже на крестовый поход.

Хреновая история,не спорю,но это все-таки не катастрофа с массовыми жертвами. Чем там все закончилось кстати? Пострадавшим компенсировали?

По идее в таком случае ответственность должна лежать на разработчиках проприетарного софта. Они могли проверить библиотеку перед обновлением, исправить код, выбрать другую библиотеку или написать своё.

Да, и соотв. изменений формулировок и добиваются OSI и проч. опенсорс организации.

Между рекламой над шаурмячной и критически важным софтом есть целый спектр ПО, большая часть всего ПО, где качество немаловажно.

Ахаха, всем инженерам необходимо делать свою работу качественно, к ним предъявляется куча требований, продукция сертифицируется. А у программиздов как всегда тяп ляп и готово. И тут им начинают предъявлять требования к качеству и у них закономерно подгорает. Любо-дорого смотреть.

как правило в лицензии либо в EULA либо в договоре пишется отказ от ответственности разработчиков, например MPL(https://www.mozilla.org/en-US/MPL/2.0/):

7. Limitation of Liability
Under no circumstances and under no legal theory, whether tort (including negligence), contract, or otherwise, shall any Contributor, or anyone who distributes Covered Software as permitted above, be liable to You for any direct, indirect, special, incidental, or consequential damages of any character including, without limitation, damages for lost profits, loss of goodwill, work stoppage, computer failure or malfunction, or any and all other commercial damages or losses, even if such party shall have been informed of the possibility of such damages. This limitation of liability shall not apply to liability for death or personal injury resulting from such party’s negligence to the extent applicable law prohibits such limitation. Some jurisdictions do not allow the exclusion or limitation of incidental or consequential damages, so this exclusion and limitation may not apply to You.

Не путай качество и безопасность. Опять же мы тут про СПО и явно указываем что «IS AS», не уверен в моём софте, есть риски, не трогай мой софт, пиши свой или перед применением проведи исследование кода на нужный уровень безопасности который тебе нужен. Не всё зависит от программиста, код может быть полностью корректным, но собран с -03 на новой архитекстуре и подвержен уязвимостям которые на целевом железе разработчика просто невозможны. Опять же про безопасность, что это вообще такое? Например есть куча уязвимостей физических тоесть косвенное наблюдение за железом позволяет выявить данные, это можно обойти обрабатывая попутно с обычными данными тонны мусорный дабы запутать, давай все так будет делать по закону. Или библиотечная функция для SIMD ожидает определённый размер данных на входе и если прилетит иной размер случится что угодно, но только не корректная работа, давай вообще на уровне закона обяжет что-бы все функции на любой библиотеке валидировали данные вне зависимости от того на каком уровне эти библиотеки работают предполагая что данные могут прилететь любые.

Устойчив ли твой код на воздействие космическим лучам которые могут в любой момент поменять бит данных, тоже можно обезопасится всегда дублируя обрабатываемые данные постоянно сверяя две копии. И так далее.

Атаки на размер данных, считать ли небезопасным если приложение не может обработать если ему прилетел json в 10 гигабайт, атака на отказ. Что безопасно прекратить работу или пропустить данные, а что это за софт может это управление системами жизнеобеспечения в больнице, а в json пришли новые данные для работы аппаратов, как это всё однозначно назвать безопасным, прервать работу нельзя, не обновить данные нельзя.

Безопасности не существует, есть только конкретные меры в конкретных ситуациях. Ну и некие общие правила, ну к примеру запрет передачи пользовательских данных в открытом виде без шифрование через сети общего пользования.

Я тебя понимаю и даже согласен. Но, есть хотелки, а есть реальность. За безопасность кода отвечают тестировщики и пентестеры. А ответственны все, и кто создал и кто владеет и кто использует. Крайнего искать не надо, просто разная доля ответственности на каждом. И да хоть кто даёт гарантию безопастности на ПО я в жизни не видел такого, нигде.

Почему маньяки-убийцы тянут длинные сроки, а разработчики убийственного софта гуляют на свободе?

По той же причине, по которой гуляют на свободе разработчики и изготовители ломающихся винтиков, выходящих из строя чипов и прочих вспомогательных изделий не стопроцентной надежности. За безопасность конечного продукта для потребителя отвечают не они.

И тут им начинают предъявлять требования к качеству и у них закономерно подгорает. Любо-дорого смотреть.

Будет любо-дорого смотреть, как цена на следующую версию продукта (супер безопасного) возрастет вдвое, и у покупателей от этого отвиснет челюсть :)

Супербезопасный софт никому не нужен. Все равно будет ломаться что-нибудь материальное

Так если обяжут то будет уже без разницы нужен тебе такой софт ли нет, его таким сделают и поднимут и цену и системные требования для работы ПО, всё имеет цену. Если коснётся СПО то некоторые проекты вовсе прекратят своё развитие и что-бы избежать проблем в будущем перелицензируют свои проекты с запретом на использование.

Никто же не требует выпускать вечные чипы, абсолютно безопасные шины и прочие субпродукты. С чего вдруг потребуют подобное от софта? Безопасность - это всегда компромисс, учитывающий пожелания рынка

Ну надеемся что там им это объяснять, в целом на ЕС пофигу, но ведь если произойдёт и все другие тихонько подтянутся, пусть не сразу и не везде. Короче, надеюсь просто введут свод необходимых мероприятий «тоже шифрование пользовательских данных в общих сетях» и типа того, для коммерческого софта, без указаний расплывчатых понятий типа «общая безопасность» или подобного.

Пока неизвестно

Ну пока можно тему закрыть тогда

Мы же не знаем, сколько людей со слабым сердцем не выдержали стресса и умерли?

Причем здесь разработчик софта? Вот ты в метро кого-то толкнул, человек потом расстроенный ехал на личном авто домой и из-за невнимательности сбил пешехода, тебя в тюрьму? Что за тупняк отборный.

Куда государство ни сунет своё мурло, всё превращается в говно. Вот и до софта его поганые руки дошли.

Судя по ОП, в тексте есть упор на security by design. Этот термин всегда подразумевает соответствие здравому смыслу общего подхода к разработке и применению софта. И только потом идеальную вылизанность и отсутствие ошибок. Проблемы в софте не должны приводить к катастрофе (или утечке, или нарушению закона, итд), а обеспечить подобное совсем не так дорого, как сделать безошибочно.

Евростарпёрский союз продолжает закручивать гайки.

security by design

Да, но это может пойти в разрез с optimization by design.

К примеру Vulkan API под security by design уже не подпадает. Оно позволяет уронить графику by design. Продолжать примеры можно ещё раз тысячу наварное. Разные уровни ПО требуют разного подхода, для некоторых уровней security by design неприменимо на уровне физических законов природы.

Хотя возможно речь только про клиентское ПО. Да и там не всё так однозначно. Ой короче я пошёл :D

Ну писец мне, мне за ноду платят, а там из нпм натянуто всякое. И кстати, не всегда свежее

Она отвечает перед кем надо. Я вот от привитых блюпуп ловлю

Есть такие особи - релиз манагеры называются. Они иногда блондинки, иногда даже с сиськами. Платят им так, как будто они каждый релиз через дебри сертификации проводят. Ну, тоесть, хотели как лучше, были намерения

И теперь мы выбираем устройства не столько по функционалу,сколько по тому,насколько там легко разблокировать загрузчик/выпилить бесячие фичи etc.

Так это всегда так было. Функционал в аналогичной ценовой категории примерно одинаков. Разве нет?

Я ни слова про ценовые категории не говорил)

Лицензия не может отменять положения закона, и в приведённой тобой цитате как раз об этом говорится.

Я просто сказал, что всегда так было. Ничего не меняется «раньше» и «теперь».

Достигаться это должно при помощи всяких мер типа security by design и проч

Linux перепишут на rust?

европейские законодатели

Еще пару законопроектов и разрешат использовать лишь Rust.

Почему маньяки-убийцы тянут длинные сроки, а разработчики убийственного софта гуляют на свободе?

К разработке софта, который может приводить к катастрофам с жертвами, предъявляются особые требования. И там все бол-мен нормально получается. А разрабатывать с теми же требованиями пасьянс косынку или очередной текстовый редактор не имеет никакого смысла.

Ахаха, всем инженерам необходимо делать свою работу качественно, к ним предъявляется куча требований, продукция сертифицируется.

Ну вот в рамках конкретных программно-аппаратных комплексов софт и должен проходить сертификацию, разрабатываться в соответствии с определенными стандартами и регламентами, и тд — в зависимости от назначения комплекса, потенциальной опасности для общества, пожеланий и бюджетов покупателя комплекса, и тд.

Пытаться установить единые абстрактные требования для вообще всего софта - это неадекватный бред. Так же не существует единых требований к абстрактно любым промышленным изделиям: на многих продающихся в магазине товарах ты можешь прочитать фразу «не требует обязательной сертификации».

То есть требования-то конечно установить можно, но это просто усложнит жизнь в тех странах, где люди будут вынуждены эти законы соблюдать. Очередной гирей повиснет на экономике.

прозреваю, что будут заставлять писать на расте. https://rosenpass.eu/ - вот образцовый проект, например. Крайне безопасно, сделано на грант евробюрократов. Просто идеально.

Я ещё от всплывающих окошек «Разрешить куки» не отошёл, а меня уже проверками софта глушат !!

Будет любо-дорого смотреть, как цена на следующую версию продукта (супер безопасного) возрастет вдвое, и у покупателей от этого отвиснет челюсть :)

И в нем один хрен будут тучи багов, потому что можно приказать высечь море, но нельзя таким образом заставить его отступить %)

Я говорил и повторю: моя мечта - это дожить до времен, когда за слово «безопасность» каждого wannabe-контролёра будут сразу, громко хохоча, бить по лицу доской с гвоздями и пинками вышвыривать на мороз.

там разработчики шифтуют ответственность на пользователей в контексте локальных законов применимых к пользователям.
вилка - пользователю отвечать по закону либо не использовать ПО.