LINUX.ORG.RU

Алан Кокс: Не следует слишком доверять утверждениям о безопасности ПО с открытым исходным кодом.


0

0

Алан Кокс, сотрудник Red Hat и одна из уважаемых фигур в OpenSource сообществе, считает, что не следует слишком доверять утверждениям о безопасности программного обеспечения с открытым исходным кодом:

"Высокое качество достигается только в некоторых проектах - тех, где код хорошо проверяется и где работают хорошие программисты".

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Это Алан Кокс всех напугал и акции падают.

r ★★★★★
()

Открыл Америку... Точнее, Алан-то не открыл - открыли те, кто считает это внезапным откровением...

svu ★★★★★
()

Журналюги опять всё наврали. Ссылки на транскрипт выступления нет, значит статья - выдумка журнашлюшки.

geekkoo
()
Ответ на: комментарий от vada

А как же миллионы глаз которые изучают код на предмет ошибок? Или лииния партии в очередной раз колебнулась?
Пока нет ссылок на транскрипт вообще что-либо обсуждать тут бессмысленно.

geekkoo
()

В этом кто-то сомневался? ;)

SDE
()

(о наболевшем) да-да, возьмём вот к примеру php :)

Teak ★★★★★
()

Итак, итоги подведем - хорошие программисты пишут хороший код, плохие- плохой. При хорошем тестировании в коде вылавливается больше багов, чем при плохом. И это не зависит от лицензии, под которой этот код выпускается.

С другой стороны, тот проприетарный Java код который мне довелось видеть, обычно написан хуже чем опенсорс Java фреймворки (Stripes, Spring, Acegi, Struts etc ...) исходники которых мне также доводилось видеть. В основном, мне кажется, это из-за постоянных дедлайнов и нехватки времени на коммерческих проектах, в то время как у опенсорс разработок ответ на все один - it's done, when it's done %))

anonymous_IV
()
Ответ на: комментарий от geekkoo

> А как же миллионы глаз которые изучают код на предмет ошибок?

Представляю себе такого программиста, которого и своя собственная задача замучала до невозможности, он о ней думать даже не хочет, ан нет, он сидит бедный и проверяет еще чужой код на ошибки...

Нужно быть реалистами. Для большинства проектов код интересен только тем, кто над ним работает, или тем, кто имеет мысль содрать какую-нибудь полезную идею. Пожалуй, может быть интересным еще студентам, которые только учаться, у них уйма свободного времени, да и, вообще, им все интересно, потому что пока еще молодые ;) Вот и все. Кто еще кроме них будет интересоваться чужим кодом? Причем, мало интересоваться - нужно быть профессионалом в конкретной области. В общем, очередной миф.

SDE
()
Ответ на: комментарий от SDE

На самом деле, открытый код здесь всё же полезен. Тем, что все в общем-то знают, что написано через пень-колоду,а что более прилично.

Teak ★★★★★
()
Ответ на: комментарий от Teak

Тот код который я видел - страшен. :(

Последний действительно классный код, которым я восхитился - был фирмваре, который написал на асме неизвестный мне кодер и уехал в Ю С ЭЙ. А мне пришлось этот код (НЕ ИСПРАВЛЯТЬ) дорабатывать. Получил массу удовольствия от этой задачи.

etf
()
Ответ на: комментарий от anonymous_IV

>Итак, итоги подведем - хорошие программисты пишут хороший код, плохие- плохой.

В общем-то Кокс сказал, что не надо воспринимать OSS как одну единицу с одной характеристикой - есть большие вылизанные проекты, которыми пользуется много народу и потому там мало багов, но это отнудь не говорит о том, что мало багов будет в поделке некоего Васи которую нарыли на сорсефорже, только потому что она тоже OSS.

r ★★★★★
()
Ответ на: комментарий от lester_dev

> странно, вот небезопасно, а вирусов у меня нет. В чем беда?

В неуловимом Джо.

anonymous
()
Ответ на: комментарий от lester_dev

>странно, вот небезопасно, а вирусов у меня нет. В чем беда?

в этом нет необходимости. (читай - ломает писать)

Killy
()

>"Высокое качество достигается только в некоторых проектах — тех, где код хорошо проверяется и где работают хорошие программисты".

Что не противоречит тезисам, заложеным в "Собор и Базар" относительно OpenSource.

Killy
()
Ответ на: комментарий от zort

>если бы это сказал Баллмер то его обвинили бы в дезинформации и лжи.

Тогда это бы было дезинформацией и ложью.

dn2010 ★★★★★
()
Ответ на: комментарий от r

>есть большие вылизанные проекты, которыми пользуется много народу и потому там мало багов, но это отнудь не говорит о том, что мало багов будет в поделке некоего Васи которую нарыли на сорсефорже

Есть проекты, которые изначально писались нормально, а есть опенофис, тармазилла и виндовс.

dn2010 ★★★★★
()
Ответ на: комментарий от dn2010

Даже если код "изначально пишется нормально", это не гарантирует его безошибочность в дальнейшем и безопасность его использования

zaregazza
()
Ответ на: комментарий от Teak

По-моему хорошо работающая программа обычно и написана бывает качественно. Есть прямая связь. Исключения редки. Поэтому открытость не так важна для ранжирования. Хотя, в целом, согласен с тобой.

SDE
()

"Акции Red Hat упали на 30% и продолжают падать второй день после заявления Oracle о поддержке Red Hat Enterpise Linux вдвое дешевле, чем сам Red Hat. "

Не удивительно, что после этого Алан делает подобные заявления, а до этого молчал, как рыба.

Spectr ★★★
()

"Кокс, который много лет активно участвует в разработке ядра Linux..."

anonymous
()

Ну да, само собой... и,собственно, что?

MiracleMan ★★★★★
()
Ответ на: комментарий от SDE

Вы меня извините, но я скажу совершенно без иронии, безопасная программа - так которой нет... хотя своим несуществованием она может представлять угрозу ;-)

Даже шариковой ручкой можно ткнуть в глаз, а соской подавиться.

До определённого предела (читать: маразма) понятие "безопасный" (как и все остальные) работает, а дальше начинаются флуктуации, компромисы.

Это дзен. =)

Так что Алан не сказал ничего (перевожу для лоровцев: в лужу пёрнул)

ip1981 ☆☆
()
Ответ на: комментарий от anonymous

> "Кокс, который много лет активно участвует в разработке ядра Linux..."

Да, уж он-то повидал линуксячьего кода - врагу не пожелаю. Разбираться в каракулях прыщавых подростков типа Reiser'а, возомнивших себя крутыми хацкирами и бомбардирующих своими нетленками kernel team.

anonymous
()
Ответ на: комментарий от SDE

"... хорошо работающая программа обычно и написана бывает качественно"

звучит как "каша масляная потому, что намаслена"

с некоторых пор, для меня лично, есть только один критерий "качественно написанной программы" - читабельность ее кода. читабельность, в свою очередь, зависит не столько от хорошего форматирования или обилия комментариев, сколько от легко улавливаемой идеи, заложенной в каждом куске кода, на любом уровне. кстати, язык программирования играет в этом далеко не последнюю роль. я бы сказал, что хорошо работающая программа, скорее всего, имеет читабельный код. и, что читабельный код - непременное условие написания хорошей программы.

anonymous
()
Ответ на: комментарий от anonymous

> и, что читабельный код - непременное условие написания хорошей программы.

читабельный код в реальных условиях требует компиляторов высшего качества

dilmah ★★★★★
()

Га, я всегда это знал!

Стоит только взглянуть на программистов новой школы (с менеджерским уклоном) как сразу всё становится ясно. Они же как дети - впихнут новую фичу и искренне надеются что все сразу кинутья эту фичу юзать и восхвалять.

От же опять проблема - разработчик свой продукт считает стабильным, а юзер нет. Кабы был центр выдачи релизных сертификатов, небось большая часть поделок бы из беты не вылазило вааще. Есть же эти.. как их.. которые html и xhtml проверяют и сертификат выдают. Я вон свой сайтик после каждого изменения тестил там, вылизал код до блеска а-ля "кошачие яйца"! И то переживал - а вдруг в каком-нить IE отразиться чего неверно. А многие разработчики так и грят "Вот, версия 1.0, стабильнющая!" и, что самое интересное, не краснеют ведь.

manokur ★★
()

Было бы прикольней, если бы это сказал Столман. А Кокса уже, наверно, давно от кода тошнит. Вот он и изливает душу. "А мне всегда чего-то не хватает. Зимою лета, осенью весны!" ))

anonymous
()
Ответ на: комментарий от anonymous

> я бы сказал, что хорошо работающая программа, скорее всего, имеет читабельный код. и, что читабельный код - непременное условие написания хорошей программы

значит исходников прекрасно работающего перла ты не видел.
:)

Window_Snyder
()
Ответ на: комментарий от anonymous

>каракулях прыщавых подростков типа Reiser'а, возомнивших себя крутыми хацкирами и бомбардирующих своими нетленками kernel team

Hans Thomas Reiser (born c.1964) is an American computer programmer...

скорее так - умудренного опытом программера послала стая прыщавых подростков, выбранных IBM для мести Microsoft за OS/2.

anonymous
()

Алан Кокс любит кокс.
Как нюхнёт так такую чушь несёт!

anonymousI
()
Ответ на: комментарий от anonymous

>"не бывает программ без ошибок"

Где я такое сказал? Или тебе слюной брызнуть охота?

manokur ★★
()
Ответ на: комментарий от anonymous

1) Дело в том, что линуксоиды всегда дают смотреть свой код. И если найдёшь там ошибки - можешь править, можешь сказать об них разработчикам, а можешь гетзифактс написать.

2) В связи с 1 (и не только), идеология разработки оупенсурса иная. Там нету гонки в стиле "скорейскорейскорей наклепатьновыхфишекпобыстрей", дыры заделать костылями и начинать усиленную компанию по втюхиванию говна по цене алмазов (а современная индустрия софта именно по такой схеме и работает).

3) Если капот авто нельзя открыть, это не значит что он гораздо надёжнее вооон того, котоый не только можно по инструкции собрать/разобрать но акромя этого даже методичка по подготовке болида к ралли на 25 языках предлагается.

И под конец - спросите у любого манагера о целях его проектов. А цель одна - заклотить как можно больше бабок как можно меньшой ценой.

Вот и получается что на самом деле хорошая только рекламма у этих "продуктов", а внутри такие фекальные массы, что мама не горюй.

anonymousI
()
Ответ на: комментарий от Window_Snyder

> значит исходников прекрасно работающего перла ты не видел

не только видел, но и активно кодил на перле. я же не говорю, что код должен читаться даже без знания языка. я не говорю о крайних формах, типа знаменитых перловых однострочниках. писать нечитаемый код можно на любом языке.

могу, если интересно, запостить реальный код на asp в несколько десятков строк. обнаружился этот "перл" тогда, когда выяснилось, что он работает, в лучшем случае, через раз. спеки на протокол были давно утеряны и разобрать, как это должно работать просто невозможно, хотя, все должно быть предельно просто. но логики в этом коде ни на грамм, начиная с использования счетчика цикла в качестве временной переменной для сборки строк в теле этого самого цикла и заканчивая блоками, которые ни при каких мыслимых обстоятельствах не могут получить управления.

anonymous
()

IMHO заголовок не отражает сути статьи на которую ссылается, правельнее было написать: Алан Кокс: Не следует слишком доверять утверждениям о безопасности ПО.

Потому что утверждениям про безопасность закрутого коду он тоже не доверяет.

Evgueni ★★★★★
()
Ответ на: комментарий от lester_dev

> странно, вот небезопасно, а вирусов у меня нет. В чем беда?

Это показатель? Ну напишите вирус сами. Большинству пользователей некогда заниматься фигней. Как только на линукс пересядут все, тогда и начнется...

andreyu ★★★★★
()
Ответ на: комментарий от lester_dev

>странно, вот небезопасно, а вирусов у меня нет. В чем беда?

Кроме вирусов также существуют всякие эксплоиты, бэкдоры и прочие руткиты.

php-coder ★★★★★
()
Ответ на: комментарий от anonymous_IV

>Итак, итоги подведем - хорошие программисты пишут хороший код, плохие- плохой. При хорошем тестировании в коде вылавливается больше багов, чем при плохом. И это не зависит от лицензии, под которой этот код выпускается.

Согласен.

>В основном, мне кажется, это из-за постоянных дедлайнов и нехватки времени на коммерческих проектах, в то время как у опенсорс разработок ответ на все один - it's done, when it's done %))

Согласен. Плюс в open source проектах всё just for fun, а не из-за денег и иной раз из под палки.

BTW, есть и минус у многих open source проектов: часто такие проекты создаются начинающими и/или неопытными программистами, что отрицательно сказывается на качестве проекта. Хотя с другой стороны, часто создатели open source программ работают в крупных компаниях программистами и обладают не малой квалификацией.

php-coder ★★★★★
()
Ответ на: комментарий от geekkoo

>Ссылки на транскрипт выступления нет, значит статья - выдумка журнашлюшки.

Уважаемый, geekkoo, потрудитесь если и не прочитать всю статью, так хотя бы промотать её до конца. Ссылка на источник там есть: http://news.zdnet.co.uk/0,39020330,39284341,00.htm

php-coder ★★★★★
()
Ответ на: комментарий от anonymousI

Вот читаешь комменты таких как anonymousl, и понимаешь, что в голове у них только и есть, что фекальные массы.

anonymous
()
Ответ на: комментарий от php-coder

Это транскрипт? Нет. Те же самые выдумки, но на английском языке.

geekkoo
()
Ответ на: комментарий от ip1981

> Так что Алан не сказал ничего

Ну, почти любое дело можно довести до маразма, было бы желание. Например, примечателен один итальянский способ забастовки. Работники начинают делать все по правилам и инструкциям. В итоге вся работа застопоривается, и работать становится просто невозможно. Хуже того, придраться к таким работникам очень сложно...

Алан сказал то, что более-менее очевидно любому опытному программисту :) но ведь к его словам прислушиваются не только программисты...

SDE
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.