И еще по поводу дебиановского SSL
research!rsc: Lessons from the Debian/OpenSSL Fiasco:Distributions like Debian have to maintain their own copies of some programs at least temporarily. That's inevitable, because not all projects will run on Debian's time constraints. But I'm surprised there was no followup with the OpenSSL developers once the patch was created, trying to get them to accept it into the main tree. That could have provoked a code review too.
По моему это гораздо ближе к основной причине возникшей проблемы, чем "writing clever code". Clever код или не clever - это в большой степени вопрос субъективного восприятия индивидуального программиста (хотя конкретно за использование неинициализированной памяти в качестве источника энтропии надо бить по башке долго и больно). А вот когда патчи (а особенно багфиксы или "багфиксы") из дистрибутивов не пытаются интегрировать в основную ветку - это, во первых, вообще sorta defeats the purpose of open source, а во вторых, как раз и порождает такие вот идиотские ситуации.
По моему это гораздо ближе к основной причине возникшей проблемы, чем "writing clever code". Clever код или не clever - это в большой степени вопрос субъективного восприятия индивидуального программиста (хотя конкретно за использование неинициализированной памяти в качестве источника энтропии надо бить по башке долго и больно). А вот когда патчи (а особенно багфиксы или "багфиксы") из дистрибутивов не пытаются интегрировать в основную ветку - это, во первых, вообще sorta defeats the purpose of open source, а во вторых, как раз и порождает такие вот идиотские ситуации.