LINUX.ORG.RU
ФорумTalks

чудесато в базе уязвимостей nist

 , , скажи американец


0

4

короче - при поиске по базе - с ключевым словом rust получаем 484 уязвимости(но момент чтения может измениться в большую сторону).

https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=rust&search_type=all&isCpeNameSearch=false

а по ключу с++ - 168.

https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=c%2B%2B&search_type=all&isCpeNameSearch=false

это вообще как? есть ли разумное обьяснение(кроме атак корейских киберпартизан) таким вот результатам?

★★★
Ответ на: комментарий от hateyoufeel

Я писал это в критику Rust

без понимания в какую нишу позиционировать этот ваш раст, его критика является чистым идеализмом. и только дурачок этого не понимает.

я ж просил вам определиться - куда его позиционировать, и уж потом критиковать. более того, вы еще и настаивали, что знаете! в чем пороки руста. как вы можете это знать, если не знаете куда его применять.

карочи. на высоком уровне ему делать нечего, там царят мусоросборочные и си++ а на низком - тоже. там сишечка и намного проще, и запросто решает задачи в правильных руках. а на обвинения в том, что мимо массива пишут, ответ простой. выгоните их и возьмите тех, кто не пишет за границу массива.

и хорошо бы пояснить за фразу - «В сишечке вагон скрытых сущностей». а то вы осторожно ушли от ответа.

alysnix ★★★
() автор топика
Последнее исправление: alysnix (всего исправлений: 1)
Ответ на: комментарий от alysnix

запросто решает задачи в правильных руках. а на обвинения в том, что мимо массива пишут, ответ простой. выгоните их и возьмите тех, кто не пишет за границу массива

Чтобы не тратить время на исправление багов, с сегодняшнего дня пишем код сразу без багов.

Число, подпись.

Camel ★★★★★
()
Ответ на: комментарий от opcode

Я бы ещё добавил в недостатки так и недозревающий который год gccrs. Мне кажется, при его наличии нашлось бы больше энтузиастов попробовать rust.

Второй компилятор никогда не повредит, но Rust и без него достаточно популярен. Сложность с gccrs является следствием одного из жирнейших недостатков GCC, а именно отсутствия стабильного промежуточного языка а-ля LLVM IR (у GCC бардак из трёх вариантов GIMPLE плюс GENERIC IR сбоку). В GCC нет такого чёткого разделения на фронт и бэк как у LLVM, бэк у GCC не оформлен в виде библиотеки. Это вполне сознательное решение: Штальман в конце 90х-начале 00х очень боялся, что злые проприетарщики смогут использовать GCC в своих проприетарных IDE и «назло маме уши отморозил».

Так же, мне кажется, cargo и желание по умолчанию тащить зависимости из Сети можно рассмотреть как негативный фактор.

Это вообще не проблема. Не используй в своих проектах зависимости из сети, тебя так-то никто не заставляет. Можешь через cargo vendor всё скачать заранее и упаковать вместе с проектом.

hateyoufeel ★★★★★
()
Ответ на: комментарий от alysnix

без понимания в какую нишу позиционировать этот ваш раст

Очень жаль, что у тебя нет такого понимания.

его критика является чистым идеализмом

Нет, не является.

на высоком уровне ему делать нечего

Но он там уже есть и его много.

на низком - тоже.

Сишечка не является языком низкого уровня. Плюс, Rust уже в ядре, так что страдай.

на обвинения в том, что мимо массива пишут, ответ простой. выгоните их и возьмите тех, кто не пишет за границу массива.

Почему ж Торовалтос-то их из ядра не выгнал всех ещё?

hateyoufeel ★★★★★
()
Ответ на: комментарий от Camel

Чтобы не тратить время на исправление багов, с сегодняшнего дня пишем код сразу без багов.

удивительное открытие. оказывается копая яму лопатой, нужно ее так держать, чтобы не воткнуть в ногу. а перед красным светофором - тормозить.

а хотелось бы бухнуть и в невменяемом состоянии приступить к рабочим обязанностям.

alysnix ★★★
() автор топика
Ответ на: комментарий от hateyoufeel

вы рассуждаете как школьница, которой важно мнение подруг и ключевых фигур ее микромира.

какие-то торвальдсы, ядра линукс, бантики и рюшечки. говорите измеримые обьективные вещи, а не свои эмоции или чужое мнение.

торвальсу надавали пинков в силу каких-то там распоряжений от американских госрганов. он делает вид что исполняет.

alysnix ★★★
() автор топика
Последнее исправление: alysnix (всего исправлений: 1)
Ответ на: комментарий от alysnix

вы рассуждаете как школьница, которой важно мнение подруг и ключевых фигур ее микромира.

Нет, я рассуждаю как чувак, работающий в индустрии. Если толпы людей используют Rust для системного программирования, включая написание ядра ОС, значит он для этого как минимум годится. То, что шизофреник на ЛОРе с этим не согласен, это его проблемы.

Серьёзно, Rust уже в твоём ядре на твоём компе. Утверждать, что он для этого не подходит, как минимум уже поздно.

торвальсу надавали пинков в силу каких-то там распоряжений от американских госрганов. он делает вид что исполняет.

А чо не жыдорептилоеды?

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от alysnix

мусоросборочные и си++

Ну так почему раст-то не подходит, раз даже цпп в списке?

unC0Rr ★★★★★
()
Ответ на: комментарий от hateyoufeel

Серьёзно, Rust уже в твоём ядре на твоём компе. Утверждать, что он для этого не подходит, как минимум уже поздно.

это аргумент в пользу руста??? тогда встречный аргумент в пользу си. 99.99 процентов ядра написано на си. и утверждать, что си не подходит для написания ядер, как минимум, еще рано.

alysnix ★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Серьёзно, Rust уже в твоём ядре на твоём компе.

Погодите, он же опциональный и ещё не включен нигде. Или я что-то пропустил?

opcode
()

У них поиск по ключевым словам сломан.

По запросу «Java», вываливается куча уязвимостей относящихся, внезапно, к JavaScript.

QsUPt7S ★★★
()
Последнее исправление: QsUPt7S (всего исправлений: 1)
Ответ на: комментарий от QsUPt7S

По запросу «Java», вываливается куча уязвимостей относящихся, внезапно, к JavaScript.

кого это волнует? по запросу rust они дают то, что относится к rust.

alysnix ★★★
() автор топика
Ответ на: комментарий от opcode

Погодите, он же опциональный и ещё не включен нигде. Или я что-то пропустил?

Зависит от дистра. Некоторые уже включили.

➜ ~  zcat /proc/config.gz | grep _RUST_
CONFIG_RUST_IS_AVAILABLE=y
# CONFIG_RUST_FW_LOADER_ABSTRACTIONS is not set
CONFIG_BLK_DEV_RUST_NULL=m
# CONFIG_RUST_DEBUG_ASSERTIONS is not set
CONFIG_RUST_OVERFLOW_CHECKS=y
# CONFIG_RUST_BUILD_ASSERT_ALLOW is not set
hateyoufeel ★★★★★
()
Ответ на: комментарий от alysnix

тогда встречный аргумент в пользу си. 99.99 процентов ядра написано на си. и утверждать, что си не подходит для написания ядер, как минимум, еще рано.

Никто не утверждает, что на Си нельзя писать ядра ОС. Утверждать подобное будет глупо, как минимум, потому что контрпримеров хватает. Тезис против Си и в пользу Rust примерно таков: накладные расходы на поддержку кода на Си достаточно велики, чтобы попытаться заменить его другим языком в новом коде.

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

Тезис против Си и в пользу Rust попытаться заменить его другим языком в новом коде.

откуда следует, что «другой» язык - это руст? типичная подмена понятий. у вас из второго не следует первое.

alysnix ★★★
() автор топика
Ответ на: комментарий от hateyoufeel

просто спросите у производителя процессоров - на чем он бы писал системный софт к своим поделкам. на русте, который хрен перенесешь на другую архитектуру, или микроскопическом си, который перенести…ну месяц работы специалисту.

alysnix ★★★
() автор топика
Ответ на: комментарий от alysnix

откуда следует, что «другой» язык - это руст?

Ниоткуда не следует, что это должен быть исключительно Rust. Просто Rust взлетел, стал достаточно популярен и прошёл в ядро, а другие языки – нет.

просто спросите у производителя процессоров - на чем он бы писал системный софт к своим поделкам

ТЫ НЕ ПОВЕРИШЬ!!! Интелловцы в том числе Rust и продвигают.

https://www.youtube.com/watch?v=l9hM0h6IQDo

на русте, который хрен перенесешь на другую архитектуру, или микроскопическом си, который перенести…ну месяц работы специалисту.

А зачем переносить отдельно Rust? Достаточно добавить бэк в LLVM, и тогда будут и Си, и Rust, и даже Haskell.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

ТЫ НЕ ПОВЕРИШЬ!!! Интелловцы в том числе Rust и продвигают.

партия сказала надо, комсомол ответил - есть. они счас все будут «продвигать», чтобы не закрыли выходы на госзаказы. но продвигать вяло и без огонька.

ну не будет интел всерьез заниматься рустом, не сделав себе его клон. дабы не зависеть от внешнего игрока в технологической линейке.

alysnix ★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Достаточно добавить бэк в LLVM

недостаточно. для нормального процесса ковыряния своей архитектуры им нужен специализированный компилятор сишечки с допфичами, для эксплуатации особенностей своей технологии, которые не получить от llvm.

alysnix ★★★
() автор топика
Ответ на: комментарий от alysnix

партия сказала надо, комсомол ответил - есть. они счас все будут «продвигать», чтобы не закрыли выходы на госзаказы. но продвигать вяло и без огонька.

Жыдорептилоеды виноваты, да.

ну не будет интел всерьез заниматься рустом, не сделав себе его клон. дабы не зависеть от внешнего игрока в технологической линейке.

Думаю, Intel вполне может нажать кнопку fork на Github. Они большие мальчики. Тащемта, такие дела. Rust теперь в ядре Linux и Windows. Rust используется в Intel и в других жирных хардварных конторах. @alysnix посрамлён и обречён страдать от осознания всего этого.

недостаточно. для нормального процесса ковыряния своей архитектуры им нужен специализированный компилятор сишечки с допфичами, для эксплуатации особенностей своей технологии, которые не получить от llvm.

Ну скажи это чувакам из Intel расскажи, а не мне.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

Жыдорептилоеды виноваты, да.

читай газеты уже. даже тут уже проскакивало много раз, кто конкретно испустил фетву про защиту памяти

alysnix ★★★
() автор топика
Последнее исправление: alysnix (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Думаю, Intel вполне может нажать кнопку fork на Github.

ну нажал он кнопку fork и утонул.

то ли дело своя вылизанная за десятилетия сишечка, устройство которой все знают наизусть(кому надо). быстро запилили новую фичу и все довольны. ни руста, ни llvm, ни левых лицензий, вообще ничего.

alysnix ★★★
() автор топика
Ответ на: комментарий от rupert
Одним из факторов, вызывающих обеспокоенность, стало требование Агентства по кибербезопасности и инфраструктуре США (CISA), согласно которому к 2026 году производители должны либо устранить все уязвимости, связанные с управлением памятью, либо полностью перейти на безопасные языки программирования. Страуструп называет это серьёзной угрозой для будущего C++.

Подробнее: https://www.securitylab.ru/news/556929.php?ysclid=m7zbih9e4d709281368&utm_referrer=https%3A%2F%2Fya.ru%2F

к 2026! часики то тикают.

alysnix ★★★
() автор топика
Ответ на: комментарий от alysnix

по запросу rust они дают то, что относится к rust.

Вот ни разу. Возьмём, к примеру, вторую по списку уязвимость CVE-2025-26877. Она каким боком к Rust относится?

Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) vulnerability in Rustaurius Front End Users allows Stored XSS. This issue affects Front End Users: from n/a through 3.2.30.

Видимо только этим:

Rustaurius

QsUPt7S ★★★
()
Ответ на: комментарий от QsUPt7S

Видимо только этим:

просто возьми первую страницу и посмотри сколько там относятся точно к русту - 19 из 20. то есть порядка 95 процентов в среднем.

не надо искать исключения, подтверждающие правило.

alysnix ★★★
() автор топика
Ответ на: комментарий от alysnix

согласно которому к 2026 году производители должны либо устранить все уязвимости

или я ухожу к маме!

olelookoe ★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)