"Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

[sporaw]

Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".

Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).

CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0

Comments

Re: все так, да.

[sporaw]

Потому что подход и методология разработки и тестирования несколько отличаются от наколенно-студенческого.

он один что ли?

[neo_der_tall]

Ну я вроде как не по наслышке знаком с некоторыми из подходов и методологий. Какие конкретно гарантируют что таких бяк нет и быть не может? Очень интересно.

Кстати, про студентов Вы зря. Я Вам щас в ответ выдам стандартное "дикие индусы-аутсорсеры" и мы будем спорить кто более багогенерирующий.

Re: он один что ли?

[sporaw]

Да без проблем.

Я думаю, статистика такого рода уязвимостей (их "тяжелости", т.е. серьезности; а так же срока существования) была бы много честнее, чем какие-либо пустые споры.

Я вот вижу пока на этих двух маленьких примерах, что у debian с криптографией все как-то очень плохо.

(с интересом) а есть статистика?

[neo_der_tall]

а можете ли Вы что-то увидеть в приватсорсовых программах?

Re: (с интересом) а есть статистика?

[sporaw]

Да, я занимаюсь этим практически ежедневно последние лет 15.
Если бы я что-то подобное узрел, я бы обязательно об этом написал.

Кроме всего прочего, исходники определенных системных программ были давно украдены. Через несколько лет они, к сожалению, стали доступны в паблике -- можно их изучать.

Re: все так, да.

[rblaze]

Да-да, конечно. Если бы я не был тем самым closed-source разработчиком средств криптозащиты, да еще и увешаных сертификатами, даже поверил бы.

Re: все так, да.

[sporaw]

Ну я не удивлен, что в советской компании все обстоит именно так, как говоришь ты.

Re: все так, да.

[rblaze]

У тебя действительно нет ни одного знакомого разработчика, работающего на зарубежные компании, с которым можно было бы пообсуждать всякие прикольные ужасы, попадающие в продакшен?

Re: все так, да.

[sporaw]

Неа.
Говнари типа C#/.NET и проч. "верстальщики" не в счет.

Re: все так, да.

[rblaze]

Ну, бугога. О качестве тамошнего менеджмента и процессов нагляднее всего говорит скандальчик, разгоревшийся когда выяснилось, что часть контракта DoD по разработке щита родины зааутсорсили потенциальному противнику в Москву. Москвичи очень переживали, что этот контракт у них отнимут, они его к тому моменту уже лет пять доили.

Re: все так, да.

[sporaw]

И? От этого появились такие рандомы, как по ссылочке выше, или экспоненты = 1?

Re: все так, да.

[rblaze]

От этого твой аргумент о каких-то там особо хороших процессах в разработке коммерческого ПО (тестирование, проектирование и всё такое) превратился в пыль. Если уж факап происходит даже на уровне выбора подрядчика (причем это "советская" фирма), ниже там всё еще хуже.

И да, там был непустой список неисправленных ошибок.

Re: все так, да.

[sporaw]

Не превращался он в пыль ни капельки.

Хочу услышать как и когда, ммм, допустим, тестируется разрабатываемый код различных вот таких вот разработок типа debian.

Re: все так, да.

[ipatov_net]

C#/.NET - не говнари. Просто среди них процент говнарей выше, в виду более низкого "порога вхождения". Как в своё время с Borland Delphi было, но это же не значит, что C# и Delphi - это "быдлоязыки", это вообще карма комфортных сред разработки и RAD-тулзов.

Re: все так, да.

[sporaw]

Я прекрасно понимаю, что люди, которые раньше 10+ лет кодили на C, C++, а потом перешли (в какой-то мере "в развитие") на C# в каких-то крупных проектах, -- не говнари. Именно так, как Вы и заметили -- "низкий порог вхождения". Так же как с MSVB.

Re: все так, да.

[ipatov_net]

Говнари и сотой части .NET не знают. Я, несмотря на свой опыт (over 10 лет в индустрии, немало крупных и ответственных проектов за плечами), активно изучал C#/.NET два года, и только после этого заимел наглость считать, что я умею более-менее на этом программить :)