LINUX.ORG.RU
ФорумTalks

чудесато в базе уязвимостей nist

 , , скажи американец


0

2

короче - при поиске по базе - с ключевым словом rust получаем 484 уязвимости(но момент чтения может измениться в большую сторону).

https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=rust&search_type=all&isCpeNameSearch=false

а по ключу с++ - 168.

https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=c%2B%2B&search_type=all&isCpeNameSearch=false

это вообще как? есть ли разумное обьяснение(кроме атак корейских киберпартизан) таким вот результатам?

★★★
Тестеры и код
Почему выбирают XML для написания книг?

У golang вообще 49, а он старше раста. При этом последней CVE-2025-22870 он не выдаёт. Так что как-то нерелевантненько вбрасываешь. Тут надо что-то посерьёзней чем по буковам искать.

UPD: Вот к примеру, по продуктам, реверс-прокси, которые часто юзаются как ingress в k8, список по популярности (личные наблюдения).

  1. nginx(C): 217
  2. envoy(c++) : 114
  3. traefik (Go): 19
bdrbt
()
Последнее исправление: bdrbt (всего исправлений: 1)

это вообще как?

Обыкновенно. Есть ада. Если бы речь шла действительно про заботу о безопасности, то писали бы на аде. А тут был разработан новый яп + из каждого утюга про него вещают. Сложи 2+2.

u5er ★★
()
Ответ на: комментарий от bdrbt

У golang вообще 49, а он старше раста.

голанг понадежней раста будет. там сборка мусора.

Так что как-то нерелевантненько вбрасываешь

мопед не мой. а вот -

An official website of the United States government
alysnix ★★★
() автор топика
Последнее исправление: alysnix (всего исправлений: 1)
Ответ на: комментарий от alysnix

мопед не мой. а вот -

Не, я к тому что там надо каждую CVE-шку ковырять чтобы разобраться какой язык накосячил и как. Во многих продуктах в принципе нет пояснения на чём они написаны. Вот если взять тот-же envoy, мне долгое время казалось, что он на гошке написан, но как-то решил его поковырять на досуге - бам, а он на плюсах и нигде никаких упоминаний об этом, пока в гитхаб его не заглянешь.

bdrbt
()

Набросил так набросил. 😁

sparkie ★★★★★
()
Ответ на: комментарий от alysnix

понадежней раста будет. там сборка мусора.

Как это связано, кроме тех случаев, когда утечка ведёт к крашу из-за исчерпания памяти?

thunar ★★★★★
()
Ответ на: комментарий от thunar

Как это связано, кроме тех случаев, когда утечка ведёт к крашу из-за исчерпания памяти?

меня больше интересует почему у раста, что якобы сверхнадежен, по отношению к с++, в три раза больше уязвимостей. и это при том, что на расте пишут на порядок меньше кода, чем на плюсах.

то, есть расхождение в 30 раз по «плотности уязвимостей». понятно, что методика подсчета неточная, но куда списать такую разницу - неясно.

верней, у меня есть разные соображения, но все они не в пользу раста.

alysnix ★★★
() автор топика
Ответ на: комментарий от alysnix

Так он по меркам, этого самого «ойти», ещё молодой и все эти уязвимости в очень таких васепупкинских проектах из разряда «О, а я написал dns-сервер». Вот если честно навскидку не припомню такого чего-то серьёзного в бэкенде написанного на расте. Вроде бы его активно используют в гитхабе - но это всё закрытые разработки и хз насколько его там много. Да и саццесс сторей маловато (вменяемых ещё меньше).

bdrbt
()

CVE-2024-52288

libosdp is an implementation of IEC 60839-11-5 OSDP (Open Supervised Device Protocol) and provides a C library with support for C++, Rust and Python3.

Как интересно, эта уязвимость по поиску относится сразу к цпп, расту и питону. Но либа написана на си :)

unC0Rr ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)
Тестеры и код
Talks
Почему выбирают XML для написания книг?