forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в snapd, позволяющая получить root-привилегии в с..."
Отправлено Ordu, 13-Фев-19 17:32

> Любой комментарий, осуждающий наличие уязвимости.
Уязвимость -- это плохо. Уязвимость надо осуждать. Разговоры о том, что уязвимости неизбежны -- это не оправдание. Точнее оправдание, в том смысле, что я готов согласиться с тем, что расстреливать программистов за уязвимости не стоит, поскольку уязвимости неизбежны. Мы просто останемся без программистов, если будем их расстреливать. Поэтому наказание должно быть мягче. Таким образом, неизбежность уязвимостей оправдывает программистов, но лишь отчасти.
> Это демонстрирует полное непонимание
> человеком двух фактов:
> 1) В коде всегда есть ошибки. Часто исправление старых порождает появление новых.
> Это попросту человеческий фактор.
> 2) Ошибки порождают уязвимости
Почему же? Вот я понимаю оба факта. И делаю из него единственно-возможный вывод, что человеческий фактор надо исключать из программирования. Его невозможно исключить полностью, но отчасти его исключить возможно. Это делается посредством выбора инструментов и организации процесса написания и приёмки кода.
> Непонимание этих фактов и является ложным чувством безопасности по определению.
Но мне кажется, что непониманием этих фактов грешат больше апологеты C и C++, которые предлагают стратегию борьбы с ошибками, сводящуюся к тому, что надо нанимать квалифицированных программистов. Не, квалифицированные программисты -- это хорошо, но квалифицированный программист отличается от неквалифицированного только тем, что ошибки квалифицированного обходятся в большие суммы денег.

Исходное сообщение
"Уязвимость в snapd, позволяющая получить root-привилегии в с..." Отправлено Ordu, 13-Фев-19 17:32
> Любой комментарий, осуждающий наличие уязвимости. Уязвимость -- это плохо. Уязвимость надо осуждать. Разговоры о том, что уязвимости неизбежны -- это не оправдание. Точнее оправдание, в том смысле, что я готов согласиться с тем, что расстреливать программистов за уязвимости не стоит, поскольку уязвимости неизбежны. Мы просто останемся без программистов, если будем их расстреливать. Поэтому наказание должно быть мягче. Таким образом, неизбежность уязвимостей оправдывает программистов, но лишь отчасти. > Это демонстрирует полное непонимание > человеком двух фактов: > 1) В коде всегда есть ошибки. Часто исправление старых порождает появление новых. > Это попросту человеческий фактор. > 2) Ошибки порождают уязвимости Почему же? Вот я понимаю оба факта. И делаю из него единственно-возможный вывод, что человеческий фактор надо исключать из программирования. Его невозможно исключить полностью, но отчасти его исключить возможно. Это делается посредством выбора инструментов и организации процесса написания и приёмки кода. > Непонимание этих фактов и является ложным чувством безопасности по определению. Но мне кажется, что непониманием этих фактов грешат больше апологеты C и C++, которые предлагают стратегию борьбы с ошибками, сводящуюся к тому, что надо нанимать квалифицированных программистов. Не, квалифицированные программисты -- это хорошо, но квалифицированный программист отличается от неквалифицированного только тем, что ошибки квалифицированного обходятся в большие суммы денег.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Любой комментарий, осуждающий наличие уязвимости.

> Уязвимость -- это плохо. Уязвимость надо осуждать. Разговоры о том, что уязвимости 
> неизбежны -- это не оправдание. Точнее оправдание, в том смысле, что 
> я готов согласиться с тем, что расстреливать программистов за уязвимости не 
> стоит, поскольку уязвимости неизбежны. Мы просто останемся без программистов, если будем 
> их расстреливать. Поэтому наказание должно быть мягче. Таким образом, неизбежность уязвимостей 
> оправдывает программистов, но лишь отчасти.

>> Это демонстрирует полное непонимание 
>> человеком двух фактов: 
>> 1) В коде всегда есть ошибки. Часто исправление старых порождает появление новых.
>> Это попросту человеческий фактор.
>> 2) Ошибки порождают уязвимости

> Почему же? Вот я понимаю оба факта. И делаю из него единственно-возможный 
> вывод, что человеческий фактор надо исключать из программирования. Его невозможно исключить 
> полностью, но отчасти его исключить возможно. Это делается посредством выбора инструментов 
> и организации процесса написания и приёмки кода.

>> Непонимание этих фактов и является ложным чувством безопасности по определению.

> Но мне кажется, что непониманием этих фактов грешат больше апологеты C и 
> C++, которые предлагают стратегию борьбы с ошибками, сводящуюся к тому, что 
> надо нанимать квалифицированных программистов. Не, квалифицированные программисты -- 
> это хорошо, но квалифицированный программист отличается от неквалифицированного только 
> тем, что ошибки квалифицированного обходятся в большие суммы денег.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру