Comments | sporaw: "Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

sporaw

"Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

Aug 08, 2010 16:38

Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".

Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).

CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0 ( Read more... )

weak cryptography, vulnerability, crap code, *nix, cryptography, security, opensource

Comments 105

salikh October 16 2010, 19:10:16 UTC

Товарищ, вы показываете хороший пример, только, по-моему, неправильно его трактуете. Если бы не было открытого исходника, то подобную проблему вообще бы никогда не обнаружили ( ... )

and3957 December 17 2010, 06:14:28 UTC

>Если бы не было открытого исходника, то подобную проблему вообще бы никогда не обнаружили.

Вранье. В любой нормальной фирме практикуют и регулярный code review, и тестирование. Причем занимаются этим специальные квалифицированные люди, которым платят деньги за то, что они это делают. А выискивать ошибки в чужом коде забесплатно - мало желающих.

>но open source предоставляет значительно большие возможности для обнаружения и исправления ошибок

и опять вранье - никаких дополнительных возможностей по обнаружению ошибок он не предоставляет. Миллионы глаз, которые смотрят на код - это миф. То есть смотреть то некоторые смотрят, а видят - только фигу. Но нет профессионалов, которые занимаются этим квалифицированно.
Зато, дополнительная возможность, которую опен сорс предоставляет - это возможность анонимно и преднамеренно внести ошибку в код. Великолепно ;)

salikh December 17 2010, 09:11:08 UTC

Прошу прощения, но я в вашем ответе не обнаружил аргументов по существу ( ... )

and3957 December 27 2010, 08:29:39 UTC

>Open source сам по себе никому не затрудняет проводить code review и тестирование. Поэтому сам по себе открытый исходник не может ухудшить качество кода.

Давайте не будем заниматься подтасовками. Ответ был на этот вот фрагмент:
>>Если бы не было открытого исходника, то подобную проблему вообще бы никогда не обнаружили.
Который, очевидно, является неправдой.

>А вот тут вы ставите с ног на голову. Те, кто коммитит в open-source проекты -- они не анонимны. Быть может, истинное имя человека и не известно

Если ты не знаешь истинное имя человека - он анонимен. Просто по определению этого понятия ;) Так, в частности, его нельзя привлечь к ответственности.

>но репутация в любом случае зарабатывается долгим трудом.

Репутацию нельзя купить, но зато можно продать.

Thread 50

beroal May 26 2011, 10:32:24 UTC

А сколько подобных ошибок в закрытом коде, где их никто не видит.

sporaw May 26 2011, 18:20:12 UTC

В закрытом коде существует такое понятие как тестирование )
И еще куча различных мероприятий, направленных на минимизацию подобных проблем с момента задумывания идеи, и проходящих через все этапы разработки. См. SDL.

beroal May 26 2011, 22:23:00 UTC

Все эти понятия применимы к любому коду, хоть закрытому, хоть открытому. На что вам неоднократно указали выше (но вы, я вижу, упорствуете в своих предрассудках :) ). В частности, в том дистрибутиве, который я использую, есть специальный репозиторий для тестеров.

sporaw May 27 2011, 07:09:30 UTC

К открытому они применимы только в случае конкретной коммерческой разработки, вполне конкретной структурой команды (архитекторы, разработчики, тестеры и т.д.). Подскажете такие проекты из обсуждаемых здесь? И конкретные подходы к разработке (желательно полноценно описанные). Или тут тоже "миллионы людей могут потестировать и сообщить", так же как "миллионы глаз видят открытый код и находят ошибки, дорабатывают".

Thread 7

keinkeinkein April 24 2016, 14:30:36 UTC

sporaw April 24 2016, 23:31:53 UTC

Код-ревью просто так тут не поможет.