The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от opennews (??) on 06-Апр-17, 21:34 
Разработчики PVS-Studio (http://www.viva64.com/ru/pvs-studio/), коммерческого статического анализатора кода на языках C, C++ и C#, опубликовали (https://www.viva64.com/ru/b/0496/) результаты инициативы по проверке кода FreeBSD с целью выявления потенциальных уязвимостей. В итоге было найдено 56 ошибок, которые не исключено, что могут привести к проблемам с безопасностью. Проверка при помощи автоматизированного инструмента не заняла много времени, что позволило обнаружить все эти ошибки лишь за один субботний вечер.


Всего в коде выявлено 22 ошибки, которые могут привести к проблемам из-за разыменования нулевого указателя, а также ошибки вызванные некорректным использованием sizeof() с указателями, использованием неинициализированных переменных, некорректным указанием размера буфера, неверной организацией проверки индекса массива, подозрительным использованием разделителей в блоках кода, наличием неиспользуемых переменных, всегда ложными или истинными логическими выражениями, удалением компилятором кода для очистки буферов и т.п.


Для некоторых из выявленных проблем разработчиками PVS-Studio подготовлены (https://www.viva64.com/ru/b/0491/) исправления (https://www.viva64.com/ru/b/0487/), которые были переданы через систему отслеживания ошибок bugs.freebsd.org (https://bugs.freebsd.org). Так как для некоторых из ошибок проблематично подготовить исправления, не вдаваясь в суть алгоритмов и особенностей ОС, разработчикам FreeBSD предлагается провести самостоятельную более подробную проверку кода, для чего команда PVS-Studio готова предоставить ключ для полноценной проверки, а также помочь в отсеивании ложных срабатываний.

URL: https://www.viva64.com/ru/b/0496/
Новость: http://www.opennet.ru/opennews/art.shtml?num=46332

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +21 +/
Сообщение от Аноним (??) on 06-Апр-17, 21:34 
Реклама, но все же они делают что то полезное, наверное
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 06-Апр-17, 21:39 
Они делают что и все люди: то от чего они получают удовольствие.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +15 +/
Сообщение от Аноним (??) on 06-Апр-17, 21:52 
т.е. зарабатывают деньги

p.s. я не против заработка, просто умиляют сотрудники студии, которые в каждой новости восхваляют сами себя в третьем лице

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Sw00p aka Jerom on 07-Апр-17, 01:07 
а если о продукте трындели бы сами бсд.орг, тады бы побежали бы покупать сей продукт?

пс: народ и деньги делает и пользу приносит, и никто не оспорит найденные баги

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

41. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Клыкастый (ok) on 07-Апр-17, 10:54 
а должны восхвалять Яхве?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 06-Апр-17, 21:39 
так ошибок 22 или 56? так и не понял.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Alex (??) on 06-Апр-17, 21:43 
Всего в коде выявлено 22 ошибки, которые могут привести к проблемам из-за разыменования нулевого указателя, а также [остальные 34] ошибки..
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от VituS on 06-Апр-17, 21:43 
возможно 56, где 22 точно и написано где.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Andrey_Karpov (ok) on 06-Апр-17, 21:51 
22 - связаны с нулевыми указателями. Просто я их считал, пока не надоело и я не переклюжчился на другие типы ошибок.

Остальные 34 про разное.

Плюс в конце ещё 10 дополнительных, которые я не знаю как классифицировать по CWE. Они в 56 не вошли, а то так вообще 66 получается.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

85. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Старик on 07-Апр-17, 17:30 
Доброго времени суток, Андрей.

> 22 - связаны с нулевыми указателями. Просто я их считал, пока не надоело и я не переклюжчился на другие типы ошибок.

Т.е. ошибок, всязанных с разыменовыванием null на самом деле больше? Вам просто надоело их считать? Или же я неправильно понял?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

116. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 20:57 
> Т.е. ошибок, всязанных с разыменовыванием null на самом деле больше? Вам просто
> надоело их считать? Или же я неправильно понял?

Мне просто наскучило изучать предупреждения, относящиеся к разыменованию нулевых указателей и выписывать ошибки. Когда разработчики изучат отчёт, они смогут найти больше таких мест. Мы договорились, что мы перепроверим самый свежий код я передам им отчёт на следующей недели и они начнут его изучать.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

7. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +4 +/
Сообщение от Аноним (??) on 06-Апр-17, 21:51 
Жаль что разработчики FreeBSD не могут воспользоваться утилитой, которую им рекламируют. Билдов то нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +3 +/
Сообщение от Аноним (??) on 06-Апр-17, 21:56 
А они не разработчикам FreeBSD рекламируют, они парaитируют на опенсорсе, продвигая свою проприетарную поделку. Без огромной базы открытого исходного кода им не на чем было бы отлаживать свое пoделие, плюс используют громкие имена как рекламу
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Sw00p aka Jerom on 07-Апр-17, 01:10 
> продвигая свою проприетарную поделку

а опенсурсной альтернативы есть ?

пс: и нафиг комерческий продукт не сдался ни одному опенсурс сообществу, кому нужно они купят, просто на опенсурсе они и оттачивают продукт и хорошо его рекламируют Ынтерпрайз компаниям.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

45. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 07-Апр-17, 12:11 
> а опенсурсной альтернативы есть ?

https://clang-analyzer.llvm.org/
Про более примитивные штуки типа cppcheck молчу.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

95. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Sw00p aka Jerom on 07-Апр-17, 18:11 
не вижу сравнения
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

118. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 21:02 
> не вижу сравнения

А что тут сравнивать. Cppcheck - игрушечный анализатор, во многом построенный на основе регулярных выражений. Регулярные выражения - это не серьезно. Моя бородатая статья на эту тему: https://www.viva64.com/ru/b/0087/

На тему Clang. Вещь конечно хорошая и полезная. Но вот только, как мы не проверим их код, так находим ошибки. Это говорит о многом. Собственно, статьи про баги внутри Clang:
https://www.viva64.com/ru/b/0108/
https://www.viva64.com/ru/b/0155/
https://www.viva64.com/ru/b/0446/

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

124. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 07-Апр-17, 22:32 
> Это говорит о многом.

в основном это говорит о том, что проект все еще в "детской" стадии развития.
Шутка ли - новый gcc+binutils переписать, причем не 2.7.2.1, а сразу с современными std, в десять раз сложнее, и еще чтоб работало (one true 2.7.2 валился на примитивном плюсовом коде тех времен, и никого особо это не огорчало, времени у девелоперов были десятки лет).

Может, чем чорт не шутит, и анализатор допишут до рабочего состояния.
Я, правда, к сожалению, в это не верю.
https://svnweb.freebsd.org/base?view=revision&revision=309142
(но да, sponsored by. У них есть теперь _очень_ серьезный стимул тратить деньги и время - в виде libgcc_s, это вам не awk)

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

128. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Andrey_Karpov (ok) on 08-Апр-17, 00:16 
> в основном это говорит о том, что проект все еще в "детской"
> стадии развития.
> Шутка ли - новый gcc+binutils переписать,

Ну так и с GCC, который уже давно взрослый, всё тоже самое :)

Проверка GCC - https://www.viva64.com/ru/b/0425/

Для того и нужны специализированные инструменты, такие как PVS-Studio. Их смысл быть впереди компиляторов в плане анализа.

Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

131. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Sw00p aka Jerom on 08-Апр-17, 01:37 
тут скорее не PVS-Studio хвалить (рекламировать как обычно думают), а хейтить GCC
Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

132. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Vkni (ok) on 08-Апр-17, 06:37 
По-поводу clang'а - вот этот код

https://github.com/llvm-mirror/clang/blob/d9ef432625798f824c...

заставляет сомневаться в умственных способностях разработчиков компилятора. Это C++ код, распознающий по косвенным признакам дистрибутив Linux'а, в котором запущен компилятор.

Человеку, который хотя бы немного понимает, как именно устроена экосистема Linux, очевидно, что runtime определение дистрибутива не реализуемо и не нужно.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

141. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от пох on 08-Апр-17, 13:44 
> Это C++ код, распознающий по косвенным признакам

косвенным? По-моему, /etc/*ease это как раз основной признак, поддерживаемый практически всеми вменяемыми. Главное, как оракл, не делать там grep 2 && grep 4 (это они версию так определяли - к моему когдатошнему счастью, неведомый мне "turbolinux" совпал по этим грепам с текущей версией чего-тоужезабыл, неведомого ораклу, хотя совпали цифирки не в том порядке).

Если не нашли - можно смело считать, что запущены на васян-форк и подстраиваться соответственно (оракл вот говорил "поставь нормальный дистрибутив, потом поговорим").

Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

142. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Vkni (ok) on 08-Апр-17, 14:10 
> косвенным? По-моему, /etc/*ease это как раз основной признак

Дааа, чувствуется тяжёлое дыхание энтерпрайза. Вот по этому у вас всё так через задницу и устраивается.

Объясняю для посторонних - в Линуксах запускаемый софт должен быть запакетирован. При пакетировании maintainer 100% знает о дистрибутиве, под который собирает, не только версию, не только расположение всех нужных clang'у программ, но и груду вещей, о которых авторы clang'а в принципе не догадываются - например, механизме альтернатив.

Поэтому всё, что нужно было сделать - это попросить указать в configure или его аналоге правильное расположение тех программ, что нужны clang'у. А не городить 5-ти колёсный велосипед с автоопределением (над такими вещами ржали ещё в 90-е).

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

151. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от пох on 08-Апр-17, 18:03 
> Объясняю для посторонних - в Линуксах запускаемый софт должен быть запакетирован. При

кому должен и когда этот кто-то успел в такие долги вляпаться?

> пакетировании maintainer 100% знает о дистрибутиве, под который собирает, не только

"майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает, кроме наспех прочитанных док - если есть, если вместо них не вики или вообще туманные рассуждения и отсылки в рассылку. Если тебе рассказали об ангелах с крылышками, "100% знающих о дистрибутиве", тебя жестко развели. Они и о собираемой программе чаще всего не знают нишиша. Умеет он заполнять поля Source: , Group и Version.

Доверять этим странным людям, если только за ними сзади не стоят с палкой топ-топы редхата (а это бывает только в отдельных случаях) не надо никогда и никому.

К счастью, в тривиальных случаях, за них прекрасно справляется скриптовый механизм, написанный еще во времена, когда компьютеры не помеща...не гнулись в кармане на жопе, и еще относительно руками - rpmbuild, dpkg и т д.

Ну и еще сбоку приглядывают товарищи постарше, но в основном они смотрят, чтоб он те скрипты не поотключал нахрен ради простоты достижения результата.

А нетривиальный - это вот тот самый oracle, который, собственно, тоже в пакете, но своем уникальном, предназначенном не удовлетворять копченого, писавшего (портившего) те скрипты, а для того чтобы уже установленные части не задеть, ненароком, учитывая, что там может быть уже на миллионы нефти (и знать, соответственно, ему надо не тонкости горе-дистрибутива, а тонкости своей внутренней стуктуры и взаимосвязи компонентов - получается, правда, плохо, но rpm тут точно не поможет, нет в rpmmacros оракла). И (не знаю что с 11, но вряд ли что поменялось) оно при сборке старательно линкует себя из тонны .o, что процесс непростой, не всегда удачно заканчивающийся, и очень специфичный для каждой конкретной системы (но он на ней проверен, а если не проверен, тебе нарисуют окошко, где написано, куда пойти). Какое, в ^опу, конфигуре?

Ну или для опенотсосеров и на порядок попроще - посмотрите в механику установки и запуска virtualbox, причем что совой об пень, что пнем об сову - что addons, что сервер. Да, оно запаковано в пакет, но пользы от этого совершенно никакой.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

152. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Michael Shigorin email(ok) on 08-Апр-17, 18:56 
> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает

Зависит.

> Они и о собираемой программе чаще всего не знают нишиша.

Вот это более обычное дело, если человек не разработчик собираемой программы или не применяет её давно и плотно.

> Ну и еще сбоку приглядывают товарищи постарше, но в основном они смотрят,
> чтоб он те скрипты не поотключал нахрен ради простоты достижения результата.

Кое-где местами можно хоть понаотключаться, просто в репозиторий не пройдёт ;-)

Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

172. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 10-Апр-17, 15:07 
>> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает
> Зависит.

тот который знает (за пределами наспех прочитанных методичек) - уже давно эффективный менеджер, у него нет времени самому собирать сложные пакеты

>> Они и о собираемой программе чаще всего не знают нишиша.
> Вот это более обычное дело, если человек не разработчик собираемой программы или не
> применяет её давно и плотно.

напоминаю, первые выдернутые из моей памяти примеры: virtualbox, oracle (представим, что оракл вдруг осенился великой благодатью и лично кому-то из ваших майнтейнеров отдал схему сборки).
Применяя то и другое давно и плотно, ты по прежнему очень плохо будешь представлять себе, как оно устроено внутри. И если с первым еще при желании (а откуда оно возьмется?) разберешься (хотя правильней для дистрибутива потратить это время на разборки с его http-интерфейсом, кластеризацией и 3d-party мордами, чтобы это все уинтегрировать правильно - пользователи оценят), то второе - полный тупик, не бывает таких людей.

с проектами уровня llvm (с которого начался разговор) - ну я вот видел один раз в _одном_ дистрибутиве майнтейнера, который понимал как работает (сборка, а не как вызывать уже кем-то собранный) gcc в деталях, но это было давно, ему наверняка давно уже  надоело.
К тому же, это его великое понимание вовсе не принесло тому дистрибутиву пяток разных gcc, переключающихся alternatives. Странно, почему?


Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору

174. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 10-Апр-17, 15:46 
>>> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает
>> Зависит.
> тот который знает (за пределами наспех прочитанных методичек) - уже давно
> эффективный менеджер, у него нет времени самому собирать сложные пакеты

Зависит... но народ продолжаем набирать, да.

> напоминаю, первые выдернутые из моей памяти примеры: virtualbox

У нас и его текущий майнтейнер весьма лазит внутрь, и предыдущий (который из проекта никуда не девался, но последний год или около того ударно занимается самбовыми потрохами).

> И если с первым еще при желании (а откуда оно возьмется?) разберешься (хотя правильней
> для дистрибутива потратить это время на разборки с его http-интерфейсом, кластеризацией
> и 3d-party мордами, чтобы это все уинтегрировать правильно - пользователи оценят)

А вот здесь можно и потратить время на FR вида ТЗ при желании.  В идеале бы сразу в bugzilla.altlinux.org, но можно и мне в почту.

> с проектами уровня llvm (с которого начался разговор) - ну я вот
> видел один раз в _одном_ дистрибутиве майнтейнера, который понимал как работает
> (сборка, а не как вызывать уже кем-то собранный) gcc в деталях,
> но это было давно, ему наверняка давно уже  надоело.

Не буду расхваливать, но у нас его вроде как тоже довольно неплохо понимают; при этом llvm в проекте довольно внимательно занимаются тоже два разных человека.

> К тому же, это его великое понимание вовсе не принесло тому дистрибутиву
> пяток разных gcc, переключающихся alternatives. Странно, почему?

Вспомнилось ещё одно насчёт подзабытого скилла содержания разных gcc на хосте -- у нас так: https://packages.altlinux.org/ru/search?branch=Sisyphus&quer... (от 3.3.4 до 6.3.1 почти со всеми остановками).  Даже для спеков есть обвязка в виде %set_gcc_version, если уж совсем надо.

Ответить | Правка | ^ к родителю #172 | Наверх | Cообщить модератору

176. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от iZEN (ok) on 10-Апр-17, 19:51 
>> с проектами уровня llvm (с которого начался разговор) - ну я вот
>> видел один раз в _одном_ дистрибутиве майнтейнера, который понимал как работает
>> (сборка, а не как вызывать уже кем-то собранный) gcc в деталях,
>> но это было давно, ему наверняка давно уже  надоело.
> Не буду расхваливать, но у нас его вроде как тоже довольно неплохо
> понимают; при этом llvm в проекте довольно внимательно занимаются тоже два
> разных человека.

LLVM сейчас - часть графической подсистемы *nix. Под него заточена инфраструктура DRM, X.org Server:

% pkg info -dr dri-13.0.6,2
dri-13.0.6,2
Depends on     :
    libxshmfence-1.2_1
    libXxf86vm-1.1.4_1
    libXvMC-1.0.10
    libXv-1.0.11,1
    libXfixes-5.0.3
    libXext-1.3.3_1,1
    libXdamage-1.1.4_3
    libX11-1.6.5,1
    expat-2.2.0_1
    libdrm-2.4.78,1
    llvm39-3.9.1_4
Required by    :
    xorg-server-1.18.4,1

Ответить | Правка | ^ к родителю #174 | Наверх | Cообщить модератору

177. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Andrey Mitrofanov on 11-Апр-17, 10:49 
> LLVM сейчас - часть
>Под него заточена инфраструктура DRM,

Тебе-то, понятно, без разницы - натачиваешь свой эпплекомпайлер, но--

> % pkg info -dr dri-13.0.6,2
> dri-13.0.6,2

"DRM" != "DRI"   //https://dri.freedesktop.org/wiki/DRM/#inwhatwaydoesthedrmsup...

Ответить | Правка | ^ к родителю #176 | Наверх | Cообщить модератору

178. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 11-Апр-17, 17:17 
> Вспомнилось ещё одно насчёт подзабытого скилла содержания разных gcc на хосте

судя по названиям пакетов, скилл таки забыт, просто destdir с некоторыми не совсем приятными последствиями в виде намертво вбитых путей к libgcc/libstdc++, отличающихся от общепринятых.
> Даже для спеков есть обвязка в виде %set_gcc_version

так вот правильный скилл позволял выбирать компилятор через, сюрприз, CFLAGS!
(есть/был такой интересный ключик -V и -b еще. с последним я, правда, не подружился)

Ответить | Правка | ^ к родителю #174 | Наверх | Cообщить модератору

156. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Vkni (ok) on 08-Апр-17, 19:37 
> кому должен и когда этот кто-то успел в такие долги вляпаться?

Разработчики дистрибутива. В момент создания дистрибутива.

> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает

Это в RH, OpenSuse или Debian'е, сборщик потенциально БАЗОВОГО пакета? У вас какие-то дикие представления о современных Линуксах.

> Какое, в ^опу, конфигуре?

Вас понесло. Вот цЫтата из инструкций по сборке:
"
Build LLVM and Clang:

    mkdir build (in-tree build is not supported)
    cd build
    cmake -G "Unix Makefiles" ../llvm
    make
"

Т.е. при сборке clang'а используется обычный cmake. Ну он позволяет задавать внешние настройки. В частности, путь к gcc.

Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

173. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 10-Апр-17, 15:31 
>> кому должен и когда этот кто-то успел в такие долги вляпаться?
> Разработчики дистрибутива. В момент создания дистрибутива.

это вы о ком, о миллионере Марке Эвинге (the guy in red baseball hat)? Ему уже давно похрен ваши проблемы, он вам не должен, хотя нормально на лохах денег поднял.
ЛаРош миллионером, кажется, так и не стал, и ушел куда-то в туман, вряд ли он будет вам пересобирать пакеты единственноправильным образом.
Кто там был в дебиане, не помню, за неинтересностью, но они вообще ничего не умели.

>> "майнтейнер" - обычный мидсаммер стьюдент, ничего он о дистрибутиве не знает
> Это в RH, OpenSuse или Debian'е, сборщик потенциально БАЗОВОГО пакета? У вас

конечно. Кто ж на совершенно обезьянью работу будет нанимать кого-то более дорогостоящего?
И с чего, кстати, 3-d party не-gpl компилятору быть "потенциально базовым пакетом" хотя бы в отдаленной перспективе?

> какие-то дикие представления о современных Линуксах.

это у вас какие-то фантастические, что ЛаРош лично вам по сей день тщательно собирает пакетики (а он этим и в детстве-то не увлекался, у него три студента были на подхвате)

>> Какое, в ^опу, конфигуре?
> Вас понесло. Вот цЫтата из инструкций по сборке:

я предложил вам глянуть на другой софт, тоже вынужденный определять тип системы, чтобы знать, как ему устанавливаться. Вы, похоже, ни одного слова не поняли, потому что на локалхосте такого не употребляют.

> Т.е. при сборке clang'а используется обычный cmake. Ну он позволяет задавать внешние
> настройки. В частности, путь к gcc.

эти настройки для бутстрэпа в основном, не для работы.
впрочем, совершенно неизвестно, как там внутри используется полученная информация - может и никак, или запихивается в крэшдамп/дебагхедеры, чтобы потом проанализировать, кто кривее собирает, убунта или центось.

повторяю, для тугоухих: в самой процедуре определения типа дистрибутива ровно тем методом, который является признанным стандартом, ничего неправильного нет.

Ответить | Правка | ^ к родителю #156 | Наверх | Cообщить модератору

179. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Vkni (ok) on 13-Апр-17, 04:47 
> конечно. Кто ж на совершенно обезьянью работу будет нанимать кого-то более дорогостоящего?

Чего там нужно такого дорогостоящего в знании того, где находится gcc на платформе? Её достаточно просто использовать. Я понимаю, патчи к этому gcc писать. Что, впрочем, тоже не высшая математика.

> И с чего, кстати, 3-d party не-gpl компилятору быть "потенциально базовым пакетом" хотя бы в отдаленной перспективе?

А с чего бы и нет? Какие, собственно, препятствия? Для дистрибутива gcc ровно такой же 3-d party.

> я предложил вам глянуть на другой софт, тоже вынужденный определять тип системы, чтобы знать, как ему устанавливаться.

Ну и? Ещё один пример диковатых людей, пришедших с системы, не обладающей пакетным менеджером и репозитариями. Я же говорю, что типичный ИТшник - человек дремучий. apt-get был ещё в 1998-м, а dselect ещё раньше. Однако же многие до сих пор делают windows-style инсталляшки, тот же Wolfram с Mathematica. Ну что с них взять? Хорошо хоть без вирусов.

> Вы, похоже, ни одного слова не поняли, потому что на локалхосте такого не употребляют.

Разумеется. За полётом корпоративной мысли тяжело уследить.

> эти настройки для бутстрэпа в основном, не для работы.

Охххх.

> повторяю, для тугоухих: в самой процедуре определения типа дистрибутива ровно тем методом, который является признанным стандартом, ничего неправильного нет.

Простите, откуда вы взяли, что /etc/*-release - стандарт? Хочу вас обрадовать, но у меня в дистрибутиве в каталоге /etc есть файл redhat-release. Хотя дистрибутив совсем не RedHat. И на всяких Mandriva'х тоже этот файлик имеется. С вопросами, как этот файл появился, обращайтесь по адресу mike@altlinux.org или тут. Михаил отличную историю расскажет. Длинную и поучительную.

Стандартом определения дистрибутива является команда lsb_release. Она да, у меня работает как надо.

---------------------------
Вы, честно говоря, утомляете. Михаил, похоже, вас по какой-то причине уважает, наверно, эта причина веская. Ну ладно. Всего Вам доброго, хорошего настроения и здоровья!

Ответить | Правка | ^ к родителю #173 | Наверх | Cообщить модератору

144. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 08-Апр-17, 14:26 
А свой PVS clang'ом проверять пробовали? Понимаю, что если и попробуете, результатов мы не увидим, но может быть хоть немножко самоуверенности у Вас убавится.
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

147. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Andrey_Karpov (ok) on 08-Апр-17, 17:51 
> А свой PVS clang'ом проверять пробовали? Понимаю, что если и попробуете, результатов
> мы не увидим, но может быть хоть немножко самоуверенности у Вас
> убавится.

Это уже было в Симпсонах: https://www.viva64.com/ru/b/0270/

С тех пор ежедневно выполняется анализ с помощью Clang. Но потом за всё время было найдено только 1 или 2 ошибки в новом коде.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

78. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +3 +/
Сообщение от llolik (ok) on 07-Апр-17, 16:51 
> и нафиг комерческий продукт не сдался ни одному опенсурс сообществу

И неважно, что народ активно coverity проверяется (ЕМНИП даже linux kernel). Coverity уже не коммерческий продукт? Хоть и опенсоурс дают, при определённых небольших ограничениях, проверять бесплатно.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

36. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Аноним (??) on 07-Апр-17, 09:09 
Как будто это что-то плохое.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

40. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от KonstantinB (ok) on 07-Апр-17, 10:53 
Ну так и пусть используют. Взаимная польза есть же.

Если вам это не нравится - вы можете заняться улучшением cppcheck. Если бы cppcheck работал хорошо, пвс-студии и прочие coverity были бы никому не нужны.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

50. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –3 +/
Сообщение от robux (ok) on 07-Апр-17, 13:04 
> они парaитируют на опенсорсе

Они парaзитируют не на опенсорсе, а на ущербном Си, где всякий изврат, типа прямого выделения/освобождения памяти и обращений по сырым указателям памяти - в порядке вещей.

Программист Си как бы бежит по сараю, забитому граблями, вилами, косами, серпами, ну и, естественно, регулярно падает, раздирая тело в кровь. А PVS-Studio, как ловец над пропастью во ржи, ловит малыша, поднимает, говорит: "ну вот, маленький, опять поранился, видишь - здесь торчала коса".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору
Часть нити удалена модератором

53. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от robux (ok) on 07-Апр-17, 13:16 
> Иди на яваскрипт калькуляторы пиши!!!!!

Ты пытаешься заменить компилируемый язык интерпретируемым - это глупо. Если выбирать аналог Си, то я бы взял Паскаль.

А прототипы прикладных приложений и в самом деле лучше писать на интерпретируемых языках с динамическим выделением памяти. Потом, когда прототип уже вовсю работает, для скорострельности можно садиться и переписывать его на компилируемом языке под разные платформы с регулярной перекомпиляцией во всех популярных репозиториях.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

59. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от llolik (ok) on 07-Апр-17, 14:36 
В этих ваших Паскалях настрелять себе в ногу ничуть не сложней чем в Сях, если писать что-то сложней Hello World. Так то, помимо buffer overfow/corrupt, которые "фирменные" для Си, есть, например,  memory leak/corrupt, которые и в Паскале несложно получить (а уж в дельфях тем более). Типов ошибок - вагон и тележка. От data race тебя какой язык спасёт?

> А прототипы прикладных приложений и в самом деле лучше писать на интерпретируемых языках ...

Частенько так и делают. Называется прототипирование. И чем это поможет в плане избавления от ошибок?

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

102. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от анонпитонер on 07-Апр-17, 18:49 
Ну ка, клоун. покажи мне как ты это сделаешь в Компонентом Паскале?

Ждёмс!)

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

112. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Старик on 07-Апр-17, 20:06 
Да, действительно, очень интересно! С удовольствием посмотрю на пример!

Так как, llolik, где пример?

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

122. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от llolik (ok) on 07-Апр-17, 21:41 
> Так как, llolik, где пример?

И ответ и пример ниже.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

121. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от llolik (ok) on 07-Апр-17, 21:33 
> Ну ка, клоун. покажи мне как ты это сделаешь в Компонентом Паскале?

Ну да, не клоун, сравнить Оберон-2 (он же компонентный паскаль), который имеет свой memory manager, свой GC и вообще свою среду исполнения с полным отсутствием присутствия прямой работы с памятью, с классическим Си и классическим паскалем/делфи - это сильно. Давай ты может, его с C#, Java, Rust (хотя и немного не то) сравнишь.
Может ты не в курсе, что твой язык из себя представляет? Ведь так, не клоун?
Вопрос два, не клоун, твой Оберон-2 в многопоточность умеет? Нет? Я не в курсе. Как же он на уровне языка с проблемами синхронизации справляется. А с resourse leak, например (это НЕ memory leak, от которого GC спасёт)?

> Ждёмс!)

Чего. Примеров memory leak на классическом (!) нативном паскале/делфи? Да на здоровье

var a:^integer;
begin
    new(a);
    // что-то там делаем
    new(a); // leak 2 bytes
    // что-то дальше делаем, хоть dispose(а), но первое уже утекло.
end.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

134. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –3 +/
Сообщение от Старик on 08-Апр-17, 08:58 
Очень искуственно. Именно то, что приводят во всех учебниках, как демонстрацию примера утечек памяти. И где-то рядом обязательно есть фраза, типа «указатели не нужны», что в 99% случаев есть правда.
Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

135. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от llolik (ok) on 08-Апр-17, 10:06 
> Очень искуственно.

И тем не менее, это самый простой пример, который вспомнился на ходу.
> указатели не нужны

Да ладно. А с heap-ом как тогда работать? Какой-нибудь список или на худой конец динамический массив там. Я уж не говорю за объекты в каком-нибудь object pascal(delphi).

Ответить | Правка | ^ к родителю #134 | Наверх | Cообщить модератору

143. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Старик on 08-Апр-17, 14:16 
>А с heap-ом как тогда работать?

Вот это, честно говоря, не понял. Что и зачем делать в куче, пусть там компилятор копается.

Конечно, я уже порядком подзабыл Delphi, но мнится мне, что динамические массивы автоматически освобождаются, когда выходят из области видимости.

Если же переписать Ваш пример с использованием объектов
========================
var a: TMyObj;
begin
    a = TMyObj.Create();
    // что-то там делаем
    a = TMyObj.Create(); // leak
    // что-то дальше делаем, хоть а.Free, но первое уже утекло.
end.
=========================
то он не станет менее надуманным.

Ответить | Правка | ^ к родителю #135 | Наверх | Cообщить модератору

150. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от llolik (ok) on 08-Апр-17, 17:59 
> Что и зачем делать в куче, пусть там компилятор копается

И тем не менее часто требуется. С первого же момента, как необходимо реализовать что-то не тривиальное или связаться с чем-то вне твоего application-а. В OP/Delphi указатели просто "засахарены" под синтаксисом: те же объекты - указатель на экземпляр класса (поэтому кстати и ваш пример тоже корректен), тот же PChar, те же TList(что-нибудь). В классическом паскале всего этого нет и всё делается ручками через те же самые указатели практически так же, как и в Си (разве что со строками меньше мороки таки да). Более того и на Delphi можно писать без рантайма, будет почти тот же классический паскаль.
> динамические массивы автоматически освобождаются, когда выходят из области видимости

В последней, что я видел нужно было их nil-ить после использования. Они всё равно реализованы через рантайм (как ссылка на хитрую структуру, где есть его длина и ref.count), может сейчас уже MM и освобождает.
> то он не станет менее надуманным

Ещё раз говорю, это самый тривиальный пример (который я тем не менее встречал даже в коммерческом софте, что уже само по себе facepalm), потому что вопрошающий отрицал даже возможность. Таких примеров можно наискать ...
Более того от ошибок синхронизации никто не застрахован.

Ответить | Правка | ^ к родителю #143 | Наверх | Cообщить модератору

157. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Старик on 08-Апр-17, 19:41 
> В OP/Delphi указатели просто "засахарены" под синтаксисом

Бесспорно. Именно поэтому я и сказал: «пусть там компилятор копается». ЕМНИП, непосредственно работать с указателями мне приходилось только в некоторый случаях, в основном, при наботе с win32 API (который сам по себе тот ещё ад, должен признаться).

> Более того и на Delphi можно писать без рантайма, будет почти тот же классический паскаль.

И, всёж, Delphi, не совсем Pascal. Хотя и в TurboPascal 5.5, с которого я в своё время начинал, вполне можно было «отстрелить себе ногу» (несмотря на утверждение из известной шутки, что компилятор вам этого не позволит).
Но дело-то в том, что сам Pascal и Delphi, в частности, оберегают программиста от многих глупых ошибок.
Но вот встаёт другая проблема: те, кто изначально начинал с Си, а затем, чаще всего, вынуждено перешёл на Delphi, продолжают мыслить категориями Си и лезут туда, где надо отдать дело в руки компилятора.
Да, внутри объекты, строки и варианты (TVariant, кажется, забыл уже за давностью лет) суть указатель на какую-то область памяти. Но пусть там копается компилятор, программисту туда залезать незачем.

Ответить | Правка | ^ к родителю #150 | Наверх | Cообщить модератору

80. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от _ (??) on 07-Апр-17, 16:55 
>Если выбирать аналог Си, то я бы взял Паскаль.

Размах на рупь, удар - на копейку :) Впрочем чего от пасквилянтов ожидать? Ущербные by design же :-)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

113. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Старик on 07-Апр-17, 20:07 
Где пруфы, Билли? На нужны пруфы?
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

83. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Минона (ok) on 07-Апр-17, 17:07 
Тогда уж не Паскаль , а семейство оберонов
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

170. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от iZEN email(ok) on 10-Апр-17, 10:38 
> Если выбирать аналог Си, то я бы взял Паскаль.

Так Go же изобрели. Паскаль с Дельфями и FPC - прошлый век уже.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

92. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от dq0s4y71 (ok) on 07-Апр-17, 17:57 
бгг, ещё один указателями умученный.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

16. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Andrey_Karpov (ok) on 06-Апр-17, 23:15 
> Жаль что разработчики FreeBSD не могут воспользоваться утилитой, которую им рекламируют.
> Билдов то нет.

Публичного нет, а так было бы желание. :)

Мы готовы выдать лог.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Аноним (??) on 06-Апр-17, 22:20 
прошлый раз они слили мусор с кучей false positive - и предложили девелоперам самим фильтровать их. Из пары сотен "ошибок" реальных багов оказалось около десятка.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от A.Stahl (ok) on 06-Апр-17, 22:45 
А куда сливали-то? Тоже во freeBSD?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Ойвейноним on 06-Апр-17, 22:53 
Хоть не в даркнет, уже хорошо.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Ivan_83 (ok) on 07-Апр-17, 03:30 
В багтрекере было немного с прошлого поста.
С первого хз.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +3 +/
Сообщение от не такой email on 06-Апр-17, 23:20 
> Из пары сотен "ошибок" реальных багов оказалось около десятка.

Если это про FreeBSD, то их инструмент крут.

Сравните время на просмотр 200 мест в коде, где явно указана
проблема,

с отладкой 10 разных падений ядра. Да на 1 падение можно пару дней потратить,
выясняя у пользователя где и что у него упало.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 07-Апр-17, 00:26 
> прошлый раз они слили мусор с кучей false positive - и предложили
> девелоперам самим фильтровать их.

Шо, даже не предупредили насчёт фильтровать?

> Из пары сотен "ошибок" реальных багов оказалось около десятка.

Ах они такие-сякие, десяток реальных багов нашли и не приползли на коленках с патчами!

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

39. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от KonstantinB (ok) on 07-Апр-17, 10:50 
Если так, то ведь 10 реальных нашлось. Польза очевидна.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

104. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 07-Апр-17, 18:56 
> Если так, то ведь 10 реальных нашлось. Польза очевидна.

попробуй оценить сколько времени потратят на оставшиеся 190 ? после этого польза становится не очевидной.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

114. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Старик on 07-Апр-17, 20:12 
Поэтому надо 10 (а 10 ли?) реальных оставить! Подумаешь, всего-то 5% реальных багов! Всего-то в 2.5 раза больше, чем линуха на декстопе. Вот ещё, за Неуловимым Джо охотиться!!! :-D
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

18. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Аноним (??) on 06-Апр-17, 23:49 
> Да на 1 падение можно пару дней потратить,
> выясняя у пользователя где и что у него упало.

пару дней? Пару лет, в лучшем случае, если пользователь гораздо раньше не плюнет, разотрет и не поставит что-нибудь другое.
У меня вот STABLE виснет на сборке самой себя в vm. Стабильненько, как и положено - без всяких паник, кернельных трейсов и чего бы то ни было, что позволило бы хотя бы примерно определить круг возможных проблем.

ну да, ну да - можно попробовать собрать ядро с дебагом, подключить виртуальный serial (хотя это вряд ли поможет), потерять пару недель (оно все это делает небыстро, а на другом железе, понятно, не воспроизведется) и, может быть, получить какой-то результат. А может и нет. Я этого делать точно не буду, не настолько заинтересован в результате. А так есть надежда, что на PR'ы кто-то обратит внимание, и мне повезет - моя проблема попала в список.

А может кто-то окажется настолько неленивый, что попросит целиком лог.

Хотя, конечно, вряд ли, это ж FreeBSD. Там и PR с готовыми нормальными патчами могут висеть по пять лет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от P.Galloway (ok) on 07-Апр-17, 12:58 
> У меня вот STABLE виснет на сборке самой себя в vm.

Именно виснет? Я сталкивался с проблемой поедания всей доступной памяти (и swap'a) после чего система превращалась в "тыкву" ;), но не "зависала" (в классическом понимании).
Hypervisor - Xen (FreeBSD 11.0-RELEASE-p8 Dom0), VM 8 cores (2,7 GHZ), 24 G RAM (память увеличивал чисто из принципа), swap 10G.
Воспроизвести легко - льём "freebsd-update-server" (https://www.freebsd.org/doc/en_US.ISO8859-1/articles/freebsd...) и запускаем билд (init.sh amd64 11.0-RELEASE).
Билд идёт в 2 прохода (buldworld, buildkernel, release в jail'e и так 2 раза). Память закончится на make release (или make install после него - ), скорее всего на создании mestick образов (в jail'e штатным методом их создать нельзя). Временно "перебил" make release на make ftp, результаты посмотрим.

> ну да, ну да - можно попробовать собрать ядро с дебагом, подключить виртуальный serial (хотя это вряд ли поможет), потерять пару недель (оно все это делает небыстро, а на другом железе, понятно, не воспроизведется) и, может быть, получить какой-то результат. А может и нет. Я этого делать точно не буду, не настолько заинтересован в результате. А так есть надежда, что на PR'ы кто-то обратит внимание, и мне повезет - моя проблема попала в список.

Ну, не стоит так "передёргивать". Хотите решить проблему - извольте потрудиться, разработчики вполне себе коммерческих продуктов, тоже как бы не телепатически узнают подробности проблем.
Гугл, мозги и понимание работы системы вам в помощь - вполне вероятно что ваша проблема уже известна и известен способ либо обхода, либо есть патчи.

> Хотя, конечно, вряд ли, это ж FreeBSD. Там и PR с готовыми нормальными патчами могут висеть по пять лет.

Тоже не совсем справедливо ("готовые нормальные патчи" если и "динамят", то лишь по причине, что некому пробежать глазами по содержимому), но согласен - косяки есть.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

52. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 07-Апр-17, 13:12 
> Именно виснет?

угу, мертво.
память, пока там еще обновляется top, в избытке, скорее еще что-то течет.
Сейчас, правда, разом обновился весь llvm и приличный кусок vm* в ядре, ситуация изменилась (но и у меня слегка изменилась конфигурация, может и в этом дело)

> Ну, не стоит так "передёргивать". Хотите решить проблему - извольте потрудиться,

ну вот трудозатраты должны быть как-то адекватны результату - в данном случае мне проще забить - легких путей тут не видно, а шанс что оно само раccосется или хотя бы начнет по другому проявляться, что проще отлаживать, большой.

вероятность что подобные баги найдет стат-анализатор - небольшая, но тоже есть, поэтому подобная проверка тоже полезна (это тоже много проще чем мне собирать отладочный стенд)

> Тоже не совсем справедливо ("готовые нормальные патчи" если и "динамят", то лишь
> по причине, что некому пробежать глазами по содержимому)

именно так - народу вообще мало, многим плевать на патчи, они свои собственные хотелки пришли реализовывать, оставшиеся годами могут быть заняты другим и на твой PR не обращать внимания. Системного подхода к качеству системы у фришников, увы, нет и никогда не было.


Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

136. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +3 +/
Сообщение от Сандибридж on 08-Апр-17, 10:11 
> народу вообще мало, многим плевать на патчи, они свои
> собственные хотелки пришли реализовывать, оставшиеся годами могут быть заняты другим и
> на твой PR не обращать внимания. Системного подхода к качеству системы
> у фришников, увы, нет и никогда не было.

Ну как бэ, периодически кому-то взбредает в голову вполне так "системненько" взяться за разбор завалов багов и патчей в багзилле. Крайний раз это делал Джон Марино, если я все правильно путаю. Он вообще много чего хорошего делал и по уму. Пару месяцев назад его изгнали из проекта по доносу, мол, не умеет работать в команде, всех критикует, использует менторский тон и т.д., как на ихних форумах писали.

Такие дела.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

138. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от P.Galloway (ok) on 08-Апр-17, 13:11 
> Ну как бэ, периодически кому-то взбредает в голову вполне так "системненько" взяться
> за разбор завалов багов и патчей в багзилле. Крайний раз это
> делал Джон Марино, если я все правильно путаю. Он вообще много
> чего хорошего делал и по уму. Пару месяцев назад его изгнали
> из проекта по доносу, мол, не умеет работать в команде, всех
> критикует, использует менторский тон и т.д., как на ихних форумах писали.

Подкину "пруфов", т.к. ситуация имеет быть.
https://svnweb.freebsd.org/ports?view=revision&revision=433827

Драма:
https://lists.freebsd.org/pipermail/freebsd-ports/2017-Febru...
https://www.reddit.com/r/BSD/comments/5u7ezi/prominent_freeb...

"Пичалька", но такие ситуации имеют место быть, и в "обычной конторе в городе зажопинске" и в крупном сообществе.

Судя по письму Dewayne Geraghty, его вернули (там также кратко приводятся много интересных вещей - насчёт разработки базовой системы и портов, немного истории и личного опыта), но подробности я проглядел "по диагонали".

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

140. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от P.Galloway (ok) on 08-Апр-17, 13:43 
> Судя по письму Dewayne Geraghty, его вернули

Не, не вернули, но в проектах DragonFlyBSD и NetBSD он, вроде как, остался.
synth его (ports-mgmt/synth) - интересная вещица, жаль если разработка заглохнет.

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

153. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 08-Апр-17, 19:11 
>> Судя по письму Dewayne Geraghty, его вернули
> Не, не вернули

Написать, что ли, человеку... видал уж такую "демократию".

Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

137. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от P.Galloway (ok) on 08-Апр-17, 12:58 
> ну вот трудозатраты должны быть как-то адекватны результату - в данном случае
> мне проще забить - легких путей тут не видно, а шанс
> что оно само раccосется или хотя бы начнет по другому проявляться,
> что проще отлаживать, большой.
> вероятность что подобные баги найдет стат-анализатор - небольшая, но тоже есть, поэтому
> подобная проверка тоже полезна (это тоже много проще чем мне собирать
> отладочный стенд)

Ну как бы в любой ОС такая ситуация, если инфы мало, дампов нет, и воспроизводимость проблемы на др./схожих HW платформах близкая к 0, хоть будет "подставьте_название_ОС/дистрибутива" - результат будет такой же как и у вас сейчас.
Если времени и сил нет на решение проблемы (попросту "не окупится"), то да - проще и разумнее попробовать 2-3 удовлетворяющих вашим условиям продукта и перейти на какой-нибудь из них.
А по существу вашей проблемы - т.к. "оно виснет наглухо", то, наверное, проблема где-то в vm/io или железе (я б посоветовал, помимо прочего, прогнать RAM каким-нибудь memtest, если возможно).

> именно так - народу вообще мало, многим плевать на патчи, они свои
> собственные хотелки пришли реализовывать, оставшиеся годами могут быть заняты другим и
> на твой PR не обращать внимания.

Как и в любом другом проекте. Пусть даже "хотелки" будет реализовывать ком.контора - она будет реализовывать то что нужно ей, а не вам. Ну совсем грубый пример Redhat "клал" на Debian и им подобные и их проблемы (Redhat и Debian можете заменить на "имя_компании - нзвание_ос_или_дистра").
Или же - академический пример - "в мире Linux" всем плевать на OpenBSD и "их счета за электроэнергию в ДЦ" тоже (более скажу, не все разработчики ПО и дистров знают о ней), но OpenSSH присутствует практически везде (да и альтернатив как то особо и нет).
Можно воскликнуть - Как же так?! Огромное сообщество, куча коммерческих компаний, тот самый "базар", который разрабатывает так как надо и не "динамит патчи" и не написал свой аналог secure shell?
Да это "флуд" и "передёргивание", но я хочу донести мысль, что мир немножко другой, чем видится в "розовых очках", проблемы есть везде, и конкретно вам в данном случае не повезло, наверное, и с железом, и с системой, но возникни похожая ситуация на другой ОС (а она вполне возможна) - ваша проблемы решалась бы точно так же и негодование было бы таким же.

> Системного подхода к качеству системы у фришников, увы, нет и никогда не было.

Я, например, считаю, что "системный подход" есть у minix, oberon и прочих, но не подскажите, часто и много ли их используют, и годятся ли они для каких-либо применений? Ну, например, web-сервер (малонагруженный - до 10000 запросов в сутки, и каналом в 1-2 мегабита, на железе "из помойки" - типа SOHO-роутера/SOHO-NAS пятилетней давности) или "тонкий клиент"/терминал и т.д и т.п.
Или же, например, я вижу "системный подход" у Apple - ОС поставляется с железом (или наоборот), и только так. Но мне этот факт, как-то безразличен. Тут и "конская цена" на железяку (в т.ч. опциональные "расширялки" и их мало) и отсутствие сервисных центров и отсутствие понимания (у меня) - что мне такого даёт продукт от Apple, что я не могу сделать в др. ОС.

Можно также голословно утверждать об отсутствии "системного подхода" в "подставьте_название_ос" - просто потому что свои проблемы есть и у них (я слабо понимаю, что такое есть мифический "системный подход" - систематизированная разработка или что-то иное?).

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

154. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Michael Shigorin email(ok) on 08-Апр-17, 19:13 
> память, пока там еще обновляется top, в избытке, скорее еще что-то течет.

На приснопамятном lists.osdn.org.ua как-то после спешных патчей потекла sympa; выяснить это удалось при помощи collectd, который хотя бы отбрасывал статистику на соседний хост.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

19. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –3 +/
Сообщение от Аноним (??) on 06-Апр-17, 23:52 
Всего 56 ошибок на такое количество кода - да разработчики FreeBSD просто святые, или эта тулза кривая.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Andrey_Karpov (ok) on 06-Апр-17, 23:57 
> Всего 56 ошибок на такое количество кода - да разработчики FreeBSD просто
> святые, или эта тулза кривая.

"Статью не читай, комментарний пиши скорей..."

56 (вернее 66, если добавить неклассифицированные) - это то что найдено за вечер. Полный анализ займет очень много времени и я многие места просто не понимаю, есть там ошибка или нет.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Ivan_83 (ok) on 07-Апр-17, 03:34 
Да да.
Вот только не нужно делать из этого сенсацию а тем более говорить про уязвимости.
Большая часть найденного это старые дрова, есть немного дров которые юзаются. Чем то чем можно воспользоваться там и близко не пахнет.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

37. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 09:58 
> Да да.
> Вот только не нужно делать из этого сенсацию а тем более говорить
> про уязвимости.

Сенсации никакой конечно нет. Мы и раньше регулярно находили большое количество ошибок в различных проектах. Другое дело, что мы ранее не акцентировали внимание на борьбе с уязвимостями. Я не говорю, что мы нашли хотя бы одну настоящую уязвимость. Но борьба с уязвимостями как раз и состоит чтобы их предупреждать, исправляя ошибки, которые классифицируются согласно CWE.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

100. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от _ (??) on 07-Апр-17, 18:27 
Вообще то метрики качества в терминах ошибк/на тыЩЩи строк кода публиковались не раз и не два. Фряха там выглядела вполне себе хорошо. Так что к чему ты клонишь - я лично не понял %-)
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

139. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от P.Galloway (ok) on 08-Апр-17, 13:27 
> Сенсации никакой конечно нет. Мы и раньше регулярно находили большое количество ошибок
> в различных проектах. Другое дело, что мы ранее не акцентировали внимание
> на борьбе с уязвимостями. Я не говорю, что мы нашли хотя
> бы одну настоящую уязвимость. Но борьба с уязвимостями как раз и
> состоит чтобы их предупреждать, исправляя ошибки, которые классифицируются согласно CWE.

А можно ли оставить "реквест" на проверку OpenSSH ну или базовой системы FreeBSD (portable OpenSSH там присутствует)?
Естественно, по наличию сил, времени и желания.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

148. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Andrey_Karpov (ok) on 08-Апр-17, 17:52 
> А можно ли оставить "реквест" на проверку OpenSSH ну или базовой системы
> FreeBSD (portable OpenSSH там присутствует)?
> Естественно, по наличию сил, времени и желания.

Offer an interesting project for PVS-Studio analysis: https://github.com/viva64/pvs-studio-check-list

Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

28. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Анонимович on 07-Апр-17, 05:14 
Такс... Тулза конечно полезная  НО! Что у нас получается в итоге ? Софт пишем наверняка на опенсорснй IDE(и уж точне не на MSVS) в опенсорсной же оси(не на винде же), испытания проводят на  опенсорсном же коде,  баги ловять на нем же,  А  программа в итоге  проприетарная.
Круто чО я тоже так хочу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 07-Апр-17, 05:18 
И стоит эта хрень далеко не символические 1$
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Аноним (??) on 07-Апр-17, 05:49 
цитата с сайта. "Это значит, что статический анализатор на самом деле был не нужен всем этим людям, а свои рекомендации они оставляли просто так. Вообще, уже давно подмечена следующая тенденция."
Толи дЕбилы толи дятлы в этом PVS.  Если из десяти прогеров дешовую поДделку(CppCat) купили только 2чела это  далеко незначит что оставшимся восьми совсем ненужен нанализатор кода. Это всего лишь значит что  они смогли обойтись и без него. Любой программист  пишет он  файловый менеджер или медиаплейер или еще какую-то программу, хочет чтобы его программа работала  как можно лучше чтоб его код был  как можно более чист от ошибок  даже самых незначительных!
Я написал и поддерживаю программу  которой пользуются   абоненты моей сети. она бесплатная за  то что я  ее  сделал  и дал людям я получил только премию, начальство оценило и юзеры довольны функционалом.  Но  мне было бы интересно  прогнать ее  ч такой анализатор кода и выявить вс есвои косяки которые  полюбому вне й есть. Но это лишь мое желание. Начальство за  эту PVS не будет платить никаких денег.  Программа работает ?  работает.  Ну и пусть работает и не трогай. все. Им проще удалить  программу и все ибо она не есть необходимость.Это просто всего лишь  удобная тулза/ примочка/фишка которую придумал я.
И подобных  примеров уйма!!!
Имхо. Будь программа свободной(хотябы) многие и многие програмисты бы пофиксили 99% багов в своих программах с помощью этой PVS
IdiOt же в PVS...
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

43. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Аноним (??) on 07-Апр-17, 11:24 
А вот если бы кто бесплатно мне умывальники пробивал, то это было бы еще круче.

Я не понимаю в чем проблема? Не нравится - не пользуйся! Или свербит от того, что открытой альтернативы все еще нет (ибо для ее создания, очевидно, надо приложить больше мозгов чем слепить из готовых компонентов чятик или звонилку), а ребята вполне успешно работают?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

46. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от пох on 07-Апр-17, 12:11 
> Я не понимаю в чем проблема? Не нравится - не пользуйся!

нравится. хотим того же, но на халяву. Даже довольно номинального реверанса в сторону разработчиков, при которых доступно именно на халяву - не хотим, не по понятиям нам оно.

> свербит от того, что открытой альтернативы все еще нет

им не нужна открытая - все равно изменить в ней что-то не в стиле болгенос никто из опендрочеров не осилит, это ж мозги нужны, а не только дофига свободного времени и желания.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

64. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от ram_scan on 07-Апр-17, 15:08 
> нравится. хотим того же, но на халяву.

Нахаляву можно взять отладочные и реверсные тулзы и исследовать проявления жадности столь необходимого инструмента. Никому об этом не рассказывать.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

88. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от пох on 07-Апр-17, 17:45 
> Нахаляву можно взять отладочные и реверсные тулзы

достаточно sed'а и find. Но без поддержки у тебя вряд ли получится даже настроить на нетиповую задачу, не говоря уже о разобраться в выдаче.

Или это займет столько времени, что тебе придется таки идти на работу, потому что мама с папой вечно кормить не будут.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

69. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Аноним (??) on 07-Апр-17, 16:22 
Если бы в свое время товарищи давшие старт GPL  думали так же как ты и тебе подобные индивидуумы не было бы опеннета ибо небыло бы  вообще   такого понятия как свободный софт   и открытые исходники, и не сидел быты сейчас  на   линуксе и не кукарекал тут.  Что ?  ты на венде сидишь ? Свали с опеннета защитник проприетари.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

93. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от пох on 07-Апр-17, 17:57 
> Если бы в свое время товарищи давшие старт GPL  думали так

"товарищи", давшие старт GPL, за пятнадцать или более лет работы произвели из существенного только gnu emacs. Эталонное ненужно.

Еще, правда, они произвели мертворожденную систему gnu hurd (на базе, заметим, mach, которую писали в CMU без всяких там коммуняк. Пять лет писали, пятнадцать дописывали уже под гну-лейблом, так и не взлетело. Замечу, что ядро l4 и компанию написало в то же примерно время (то есть с тогдашним пониманием как это делают), с чистого листа, два хакера за полтора года - просто они умели кое-что кроме прокламаций).

> же как ты и тебе подобные индивидуумы не было бы опеннета

был бы на *bsd.
Да, какое-то время все висело на волоске - когда оказалось, что код 2.x использовать нельзя из-за угрозы судебных тяжб, а 4.lite не операционная система, а сплошные пустые места из-за удаленного подозрительного кода.
В этот момент очень удачно влез Линус со своей альтернативой, которая на тот момент была буквально всем хуже, но не имела лицензионных проблем, перетянув весьма ограниченный контингент хороших разработчиков - их в мире вообще мало, на два проекта не хватило.

А вот глупых фанатиков, в жизни не написавших ничего ценного ни под какой лицензией, действительно было бы поменьше.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

54. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 07-Апр-17, 13:25 
Чем писать такую длинную телегу, куда продуктивнее было бы вбить в поисковик "static analyzer" и обнаружить кучу бесплатных и даже свободных аналогов. Пусть какие-то из них хуже, но и PVS не идеален и думать за программиста не умеет, а прогон нескольких наиболее популярных свободных анализаторов найдёт всяко не меньше ошибок, чем прогон одного проприетарного. Заодно станет понятно, как оно работает, для чего предназначено, и почему не является панацеей от криворукости.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

57. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 07-Апр-17, 14:12 
> Чем писать такую длинную телегу, куда продуктивнее было бы вбить в поисковик
> "static analyzer" и обнаружить кучу бесплатных и даже свободных аналогов.

"если б еще и работали..."
> Пусть какие-то из них хуже

к сожалению, не какие-то, а все, и хуже - в разы.

> , но и PVS не идеален и думать за программиста не умеет,

досюда правильно

> а прогон нескольких наиболее популярных свободных анализаторов
> найдёт всяко не меньше ошибок, чем прогон одного проприетарного.

а это бред. потому что прогон анализатора производит только лог.
ошибки ищут люди, вы же сами это только что написали.

Ну так вот тот факт, что после рекламных запусков pvs на любом опенхалявном софте находятся пачки ошибок (необязательно опасных, но явно ошибок - типа копипасты условий в ифе, перепутанного set/return и т д) говорит ровно об одном - без него эти ошибки остались бы ненайдеными - не смотря на наличие тонны опернсорсных якобы-конкурентов, и не смотря на то, что для верификации опенсорсного проекта не надо быть его автором (а для верификации именно pvs не надо денег платить - на раз тебе и так дадут лицензию).

Потому что таки да - их ищут люди, а люди не любят использовать неудобные и неполноценные инструменты, плюс еще и просто не обладают нужной степенью натренированности чтобы правильно сконфигурировать инструмент и _быстро_ прошерстить результат, сразу же выцепив нужное из сотни фальс-алармов.

А у разработчиков pvs есть и инструмент, и умение им пользоваться.

> понятно, как оно работает, для чего предназначено, и почему не является
> панацеей от криворукости.

то что вы называете криворукостью (а на деле просто обычная разработка) - уже случилось и результат уже в коде. То что нахождение некоторых проблем в нем это не панацея, вовсе не означает, что искать не нужно.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

60. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Аноним (??) on 07-Апр-17, 14:49 
Периодически прогоняю scan-build по каким-нибудь опенсорсным проектам, и он почти всегда находит пачку ошибок (единственное встретившееся исключение — i2pd, где не было даже ни одного фолса — видимо разработчик тоже им пользуется). Беда в том, что наличие качественного свободного инструмента не означает автоматически, что все его используют.
Статический анализ ещё не вошёл в моду, как всякие CI, поэтому искать им ошибки в открытых проектах — нефиг делать. Чем и пользуются разрабы PVS для пиара.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

94. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 07-Апр-17, 18:05 
> Периодически прогоняю scan-build по каким-нибудь опенсорсным проектам, и он почти всегда
> находит пачку ошибок

и где твои PR ?

> в том, что наличие качественного свободного инструмента не означает автоматически, что
> все его используют.

всем совершенно необязательно - достаточно одного, только он еще и уметь должен.
(и потратить много времени на анализ нагенеренного в любом случае)

> Статический анализ ещё не вошёл в моду, как всякие CI, поэтому искать

громкие вопли "мы прогнали ведро линуха через анализатор и даже что-то по результатам исправили" я где-то в районе то ли опеннета, то ли нынепокойных англоязычных аналогов помню еще десятилетней давности.

> им ошибки в открытых проектах — нефиг делать. Чем и пользуются
> разрабы PVS для пиара.

тебе кто мешает себя, любимого (и попутно любимый опенсорс), попиарить подобным образом? "Йа нашел (и добился исправления, а не висячий PR оставил, учитесь, PVS'ы!) энцать багов - на эм больше чем ваша поделка, и не в ненужных драйверах, а в ключевых местах системы, вам есть еще куда расти!" - по-моему, неплохая реклама открытому коду, да и строчка в резюме небесполезная. И где? Злые модераторы не пропустили, велели заплатить больше, чем PVS?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

106. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 07-Апр-17, 19:15 
А зачем мне пиариться? Что нашлось — то нашёл, что посчитал нужным — зарепортил.
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

117. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от пох on 07-Апр-17, 21:00 
> А зачем мне пиариться?

как зачем? Перечитай последний абзац. А зачем еще ты всю ту муть сюда понаписал? Чтобы люди знали, что есть такой нужный и полезный софт, совершенно на х...бесп...э...неважно, есть он, короче, в общем весь вот такой, и вот вам доказательство, что pvs всем хуже и ненужно (хорошо бы еще с количеством времени, затраченным на разбор).

Просто в этом случае у тебя были бы аргументы. (ну и на закусочку "И вот кстати, йа, весь такой в белом, как раз ищу работу в хорошей опенсорсной компании" тоже вполне может оказаться нелишне.)

Или, "что посчитал нужным - зарепортил" надо читать как "а что посчитал полезным - оставил себе в эксплойтбазу"? ;-) Тогда, конечно, добро пожаловать к нам, на темную сторону Силы.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

145. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Аноним (??) on 08-Апр-17, 14:32 
Меня не интересует работа в компании, в которую принимают по результатам специальной олимпиады на опеннете. И эксплойтобаз не собираю.
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

66. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 07-Апр-17, 16:06 
Все правильно. Нужность != необходимость ==> Не необходимость != не нужность.(вроде все  правльно написал :D Т.е.  Видимо в PVS Действительно люди не далекого ума ибо  путают  понятия Нужность и необходимость.
  по поводу  скрытого прейскуранта цен это ваще жесть.  очевидно же что эти "люди"( именно в кавычках) пытаются содрать  как можно больше  бабла с каждого желающего - Будь то мегакорпорация на 100500 чел  или маленькая компашка на 1,5 человека. По моему это типичные  русские (или не русские ?) жирножопы кои до поры, до времени хотят бабла срубить и свернуть свою лавченку.
--- до поры, до времени ? - это к тому, что  помоему  у них там с лицензиями не все чисто.  если они на самом деле делают свой "продукт" пользуясь свободным кодом/софтом(обобщенно)  то сдается мне  что они что-то да нарушили.  А если еще запросить у них сырцы и проверить на  использование в программе LGPL и прочих элементов ?
Имхо либо ты сидишь на  вендах с MSVS и пишешь свою проприетарщину исключительно с помощю  проприетарного кода, или ты сидишь на линуксах  и тогда "будь добр бобр" и распространяй свою программу свободно и  исходники  как минимум по требованию "клиента".
а то  збс так умудрились "и рыбку сьессть и наКуй сесть"
В мире  есть докуямного способов окупить свою "поделку" и приэтом  будут довльны все.  но они выбрали именно этот способ... Не спроста это все.
За жопу их нужно взять да только не кому.  А может уже и брали да  откупились НЕдаром же такая муть с ценником. поди в ценнике весьма круглые суммы  позволяющие заткнуть рот недовльным.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

73. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 07-Апр-17, 16:36 
> Все правильно. Нужность != необходимость ==> Не необходимость != не нужность.(вроде все
>  правльно написал :D Т.е.  Видимо в PVS Действительно люди
> не далекого ума ибо  путают  понятия Нужность и необходимость.

+
Мне  может быть Ооочень нужен какой-то  определенный софт( пусть даже также PVS) Но! Это нфига не занчит она мне ппц как необходимачтобы выложить за нее   кучу бабла. Причем тут дело стоит так что я захотел эту программу и  мне выдали ценник в  2 кк  рублей потому  что я " ппц большая организация  разрабатывающая большое количесвто разного  нужного полезного софта". а  сосед мой    получил ее  за   2 к рублей потмоу что он один и даже неорганизация.
WTF ????  

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

119. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 21:20 
Как использовать PVS-Studio бесплатно - https://www.viva64.com/ru/b/0457/
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

30. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 07-Апр-17, 05:37 
Вообще-то этой тулзой и бесплатно проверять можно добавив в начало каждого файла в коде комментарии, что добавляется парой строчек
50 якобы ошибок во всем коде FreeBSD - это практически идеальный продукт. Сейчас разрабы их исправят и будет система в принципе без дыр, в отличие от поделий которые дальше ставятся из портов
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 07-Апр-17, 12:19 
> Сейчас разрабы их исправят и будет система в принципе без дыр

Вы таки верите, что это чудо-п0делие нашло все без исключения ошибки? Если б оно так умело, его не имело бы смысла так дёшево пиарить.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от лютый жабист__ on 07-Апр-17, 05:43 
А ГНУ/линукс проверяли?

Вообще, по собственному опыту, данная прожка не видит утечку (в виде забытого free) в простейшей сипипишной процедурке на полэкрана. С другой стороны, если хоть что-то видит, это хорошо. Ещё б бесплатным было 8)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 10:05 
> А ГНУ/линукс проверяли?

Обновляемый список статей, в которых мы рассказываем об ошибках, найденных с помощью PVS-Studio в открытых проектах: https://www.viva64.com/ru/inspections/

> Вообще, по собственному опыту, данная прожка не видит утечку (в виде забытого
> free) в простейшей сипипишной процедурке на полэкрана. С другой стороны, если
> хоть что-то видит, это хорошо. Ещё б бесплатным было 8)

Ищем утечки слабо, как и любой статический анализатор кода. Не могут они это делать хорошо. Это сфера динамических анализаторов. Зато могут искать много другого, что не могут искать динамические анализаторы.

Кстати, анализатор очень быстро развивается. Предлагаю попробовать свежую версию.
    


Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

48. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 07-Апр-17, 12:22 
> Ищем утечки слабо, как и любой статический анализатор кода.

Вот когда в следующий раз надумаете тут пиариться, будьте любезны выкладывать результаты прогона других анализаторов по тому же коду. Хотя бы scan-build и cppcheck. А на слово вам верить дураков нет.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

58. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от пох on 07-Апр-17, 14:20 
> Вот когда в следующий раз надумаете тут пиариться, будьте любезны выкладывать
> результаты прогона других анализаторов по тому же коду. Хотя бы scan-build и
> cppcheck. А на слово вам верить дураков нет.

неверующий дурак так и отается дураком.

Тебе ничто не мешает прогнать другой анализатор по тому же коду (ну кроме того, что ты им ни пользоваться не умеешь, ни быстро приспособить его к специфической билд-системе не сможешь, ни быстро наковырять те же 60 ошибок из массы предупреждений, чтобы гордо наляпать тут "смотрите, какое этот pvs фуфло, я халя...опенсо...нет, все же бесплатной программой вдвое больше наковырял за то же время").

Что характерно, разработчикам тоже, и они, в отличие от тебя, даже более-менее в результате заинтересованы. Почему этого не делают - умный сам догадается, а на дурака что время терять...

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

62. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от кверти (ok) on 07-Апр-17, 15:00 
>неверующий дурак так и отается дураком

я так понимаю, что ты и тебе подобного мнения это верующие дураки?

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

65. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Апр-17, 16:05 
>> неверующий дурак так и отается дураком
> я так понимаю, что ты и тебе подобного мнения это верующие дураки?

Это один из тех, у кого и я в девяностых учился *nix, если что.  В #58 субъективно всё сказано по существу.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

70. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от кверти (ok) on 07-Апр-17, 16:23 
>Это один из тех, у кого и я в девяностых учился *nix, если что

Что это дает? Типа авторитет и его мнение однозначно верное?
>В #58 субъективно всё сказано по существу.

Ключевое слово - субъективно. Я с #58 не согласен в корне.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

87. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 07-Апр-17, 17:39 
>>Это один из тех, у кого и я в девяностых учился *nix, если что
> Что это дает? Типа авторитет и его мнение однозначно верное?

Типа совет перечитать внимательней.

>>В #58 субъективно всё сказано по существу.
> Ключевое слово - субъективно. Я с #58 не согласен в корне.

cosa vostra :)

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

89. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от кверти (ok) on 07-Апр-17, 17:51 
>Типа совет перечитать внимательней

Миша, зачем мне перечитывать твоего "учителя", если Я его мнение не разделяю?

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

96. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 07-Апр-17, 18:15 
>>Типа совет перечитать внимательней
> Миша, зачем

Можно прочесть невнимательно и понять неправильно, речь о таком.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

98. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от кверти (ok) on 07-Апр-17, 18:19 
Можно, но не тот случай. Я предельно четко понимаю, по какую "сторону" этот человек
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

125. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от пох on 07-Апр-17, 22:37 
> Можно, но не тот случай. Я предельно четко понимаю, по какую "сторону"
> этот человек

и это вам важнее любых аргументов. Оно и видно.

P.S. да, я давно на темной стороне силы. Здесь печеньки.
P.P.S. Миша, не пали контору (я вообще случайно забыл удалить примелькавшийся ник), я и так слишком явно расписался.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

155. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 08-Апр-17, 19:20 
> P.S. да, я давно на темной стороне силы. Здесь печеньки.

Эх :-)

> P.P.S. Миша, не пали контору (я вообще случайно забыл удалить примелькавшийся ник),
> я и так слишком явно расписался.

Думаю, помнящие те деньки и так могут узнать по почерку (хотя он тоже с годами меняется), но у меня всяко нет обычая палить контору -- только контру.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

158. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от кверти (ok) on 08-Апр-17, 19:54 
>и это вам важнее любых аргументов

Во-первых, здесь нет никаких аргументов, здесь только мотивы поведения. Во-вторых, ваша позиция, как и Миши, сводится к личному знакомству с автором/авторами этой поделки, отсюда и все ваши так называемые "аргументы".


>P.S. да, я давно на темной стороне силы. Здесь печеньки.

Мне пофиг. Каждый выбирает свой чан с дерьмом.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

159. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 08-Апр-17, 20:12 
> ваша позиция, как и Миши, сводится к личному знакомству

Эх, и когда эти буйные головы научатся хотя бы читать, не то что прочитанное понимать...

Приведите, пожалуйста, цитату.

(хотя познакомиться было бы интересно, нынче это должно быть попроще, чем тогда)

Ответить | Правка | ^ к родителю #158 | Наверх | Cообщить модератору

163. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от кверти (ok) on 09-Апр-17, 01:28 
>Приведите, пожалуйста, цитату.

Цитату чего?

Ответить | Правка | ^ к родителю #159 | Наверх | Cообщить модератору

166. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Michael Shigorin email(ok) on 09-Апр-17, 20:01 
> Цитату чего?

Моей позиции в моём изложении, которую можно понять так, как Вы изложили.

Хотя просьба риторическая, конечно -- моя-то позиция не в "руку жал, значит, гигант мысли", а в том, что по опыту общения (включая и сбывшиеся или нет прогнозы) человек и его слова могут вызывать больше доверия или меньше, притом вне зависимости от того, насколько они "комфортны".  То, что обычно не формулирую в явном виде, но что есть -- это обычно больший "потолок" доверия человеку, которго знаю лично: как в силу того, что лично знакомиться предпочитаю не на пустом месте, а на фундаменте уже сложившегося доверия, так и в силу того, что глаза являются довольно мощным невербальным каналом именно в этой части (да, действительно "зеркало души" для меня).

PS: прошу прощения за офтопик -- вообще предлагаю после выяснения позициев обсуждение почистить малость.

Ответить | Правка | ^ к родителю #163 | Наверх | Cообщить модератору

63. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 07-Апр-17, 15:03 
> неверующий дурак так и отается дураком.

Нет, дураком всегда был и останется навеки тот, кто верит всем подряд. А я привык, знаете ли, к научному подходу. Если в эксперименте отсутствует контроль — цена его нулевая.

> Тебе ничто не мешает прогнать другой анализатор по тому же коду (ну
> кроме того, что ты им ни пользоваться не умеешь, ни быстро
> приспособить его к специфической билд-системе не сможешь, ни быстро наковырять те
> же 60 ошибок из массы предупреждений, чтобы гордо наляпать тут "смотрите,
> какое этот pvs фуфло, я халя...опенсо...нет, все же бесплатной программой вдвое
> больше наковырял за то же время").

Мне мешает прогнать по тому же коду другой анализатор отсутствие информации о том, что это был за код. Откуда он взят, какой версии, какие конкретно файлы проверялись — об этом почему-то умолчали. Полного лога тоже не выложили — и как прикажете сравнивать?

И я не утверждаю, что PVS — фуфло. Я этого не знаю. Здесь не приведено информации, на основании которой можно было бы однозначно заключить, что он _не_ фуфло, вот о чём я писал.

> Что характерно, разработчикам тоже, и они, в отличие от тебя, даже более-менее
> в результате заинтересованы. Почему этого не делают - умный сам догадается,
> а на дурака что время терять...

Я дурак, видимо, но всё же таки попробую погадать. Они 1) не хотят вообще упоминать лишний раз о конкурентах, чтобы тем самым не рекламировать их и/или 2) боятся бледно выглядеть на их фоне.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

97. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от пох on 07-Апр-17, 18:18 
> Мне мешает прогнать по тому же коду другой анализатор отсутствие информации о
> том, что это был за код. Откуда он взят, какой версии,

ну, так спроси - я полагаю, последний iso стянули, они обычно не парятся (потому что таки да, реклама, а не горячее желание осчастливить мир).

> какие конкретно файлы проверялись — об этом почему-то умолчали. Полного лога

оно обычно в cpp влазит, то есть проверялось, очевидно, все то,что затронул buildkernel (не world,учтите кто действительно полезет сравнивать!)

> тоже не выложили — и как прикажете сравнивать?

попросить лог же ж? Это бесплатно.

> Здесь не приведено информации, на основании которой можно было бы однозначно
> заключить, что он _не_ фуфло, вот о чём я писал.

баги находит - значит, не совсем. Но да, без своего автора и активного продвигателя не работает (за денежку, или даже за рекламный интерес такого же характера, думаю, тебе
его участие тоже вполне доступно, но если хочется сравнивать, то, очевидно, Карпова надо заменять собой, бесплатным ;-)

>> Что характерно, разработчикам тоже, и они, в отличие от тебя, даже более-менее
>> в результате заинтересованы. Почему этого не делают - умный сам догадается,
> Я дурак, видимо, но всё же таки попробую погадать. Они 1) не
> хотят вообще упоминать лишний раз о конкурентах, чтобы тем самым не

э.. я о разработчиках бес...откр...э...все же проектов с открытым кодом, на которых тренируются авторы PVS'а.

Что им мешает сделать то же самое с помощью откры...бесплат...ой, не знаю - софта хотя бы разово? (это всяко лучше, чем ни разу вообще)

Ну или хоть тем, кто непрочь порекламировать лишний раз открытый софт - есть тут такие? ;-)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

107. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 07-Апр-17, 19:23 
> если хочется сравнивать, то, очевидно, Карпова
> надо заменять собой, бесплатным ;-)

А если я потенциальный клиент? Имею я право увидеть объективное сравнение с конкурирующими продуктами прежде чем с денюжкой расставаться?

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

120. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 21:27 
> А если я потенциальный клиент? Имею я право увидеть объективное сравнение с
> конкурирующими продуктами прежде чем с денюжкой расставаться?

Мы пришли к заключению, что как бы не делали сравнения, нас всегда обвинят в предвзятости. А соответственно и нечего мучиться, раз все равно "лож и провокация" :).

Объективно может сравнить только третья сторона, да только где её взять. Если мы дадим кому-то денег, уже всегда можно сказать, что третья сторона была необъективен.

Поэтому сейчас мы отвечаем на подобно так. Возьмите наш продукт и продукт конкурента. Проведите анализ, сравните. И потом примите решение, кто больше нравится.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

146. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Аноним (??) on 08-Апр-17, 15:18 
> Поэтому сейчас мы отвечаем на подобно так. Возьмите наш продукт и продукт
> конкурента. Проведите анализ, сравните. И потом примите решение, кто больше нравится.

Ну ок, только ввиду отсутствия у меня свободного времени и желания геморрроиться с получением триального ключа скорее всего контора, где я работаю, так и останется клиентом сугубо потенциальным. Разве что коллеги из других отделов подсуетятся, но это сомнительно.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

149. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Andrey_Karpov (ok) on 08-Апр-17, 17:54 
> Ну ок, только ввиду отсутствия у меня свободного времени и желания геморрроиться
> с получением триального ключа скорее всего контора, где я работаю, так
> и останется клиентом сугубо потенциальным.

Здесь будет уместно процетировать фрагмент из статьи "Отказались от демо и фримиума — и отсеяли кучу шлака" https://roem.ru/25-07-2014/109922/otkazalis-ot-demo-i-frimiu.../

Этот пример отлично иллюстрирует два типа потенциальных клиентов:

- Представитель ЦА, который гипотетически воспользовался бы вашим предложением, если бы ему за это доплатили,

- Настоящий потенциальный клиент, которому ваш инструмент действительно принесёт пользу.

В случае с бизнес-сервисами, первый тип — это человек с сомнительным вялотекущим дельцем, у которого нет бурной деятельности и, как следствие, тех проблем, которые вы можете для него решить. Второй же действительно делает бизнес и понимает, что борьба с рутиной обходится ему дороже той суммы, которую вы озвучиваете. Перенесите это на свою сферу и прекратите попытки угодить персонажу номер 1.

Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

160. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Аноним (??) on 08-Апр-17, 21:26 
Ну что я могу сказать, удачи вам на поприще борьбы со шлаком.
Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

161. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 08-Апр-17, 21:44 
Впрочем, таки  поясню на всякий случай. Я технарь. Я могу сказать начальству, что мне нужен инструмент, и оно его купит без вопросов, а я даже не узнаю, сколько за него заплатили, и уж подавно не буду тратить нервы на общение с продажниками. В вашем случае чтобы понять, нужен ли действительно инструмент, мне таки придётся заниматься не своим делом, вникая во всякие там условия триального использования и общаясь с вашим маркетингом. Если б необходимость была очень острой, или у меня не было кучи более важных задач, может, я бы этим и занялся, но в данный момент ситуация несколько иная. И я склонен полагать, что так обстоит во многих крупных конторах. Так что с цитатой из статьи про то, как рубить бабло с ИП, Вы несколько промахнулись.
Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

162. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 08-Апр-17, 22:28 
> Впрочем, таки  поясню на всякий случай. Я технарь.

Не верю.

> Если б необходимость была очень острой, или у меня не было кучи более важных задач

Вот и [...] запилили этсамое сравнение с тем же Coverity своими руками.

Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору

165. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Andrey_Karpov (ok) on 09-Апр-17, 19:09 
> Так что с цитатой из статьи про то, как рубить бабло с
> ИП, Вы несколько промахнулись.

Да какая разница. Коллектив или чувствует необходимость контролировать качество кода и смотрим по сторонам, изучая различные инструменты, которые могут помочь. Или не чувствует, и тогда тут никак не продашь, хоть какие демонстрации делай или сравнения с конкурентами.

Вы начали с "отсутствия у меня свободного времени и желания геморрроиться с получением триального ключа". Логично предположить, что оно Вам и не надо и получение ключа выступило своего рода фильтром. И возможно это хорошо. Потому, что если даже это уже препятствие, то до ежедневного внедрения анализатора Вы всё равно не доберетесь. Ибо процесс покупки, настройки, правки ошибок, интеграция с системой сборки и так далее в любом случае на порядок превышает затраты в сравнении с получением пробного ключа. Так что я собственно не понимаю вашу позицию и чего Вы хотите.

Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору

167. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 09-Апр-17, 23:21 
Ещё раз: я технарь, что бы там по этому поводу не думал местный хам-модератор. Внедрять, настраивать и всё такое прочее — моя работа, бывает, я получаю от неё удовольствие. Общаться с продажниками — не моя работа, от этого меня воротит.
Дурацкая модель продаж выступила своего рода фильтром. И, возможно, это хорошо. Потому что если уже здесь продавец строит препятствия, страшно представить, что могло бы быть дальше.
Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

168. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Andrey_Karpov (ok) on 09-Апр-17, 23:29 
> Дурацкая модель продаж выступила своего рода фильтром. И, возможно, это хорошо. Потому
> что если уже здесь продавец строит препятствия, страшно представить, что могло
> бы быть дальше.

Вы уже потратили сил на дискуссию здесь больше, чем требовалось для получения ключа. Более того, что если говорить не про Linux, а про Windows, то там вообще ключ не нужен: скачал и пробуешь.


Ответить | Правка | ^ к родителю #167 | Наверх | Cообщить модератору

169. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Led (ok) on 10-Апр-17, 10:08 
О, да пацан тут не просто рекламу проплатил - он здесь место "застолбил"!
Ответить | Правка | ^ к родителю #168 | Наверх | Cообщить модератору

123. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 07-Апр-17, 22:15 
> А если я потенциальный клиент?

Уже смешно.  Потенциальный клиент бы не с козырей фекального типа заходил, а провёл или заказал это самое сравнение.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

126. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от пох on 07-Апр-17, 22:56 
> А если я потенциальный клиент? Имею я право увидеть объективное сравнение с
> конкурирующими продуктами прежде чем с денюжкой расставаться?

"поверила - ООО МММ?!"
Я эти объективные сравнения писал...э...читал с выражениями. Те выражения, которые заказчику слышать не полагалось, произносились за дверью, много и смачно (при том что мы впаривали хороший продукт - по моим личным оценкам), особенно наедине с другими писателечитателями. Ты в это правда хочешь верить, а не сонно моргнуть и попросить перейти к демонстрации?

Потенциальный клиент берет демо-ключ и пытается всунуть ЭТО в свою билд-фабрику, потому что, вообще говоря, для него во многом важнее, насколько это удастся с той билд-фабрикой сопрячь, чем насколько оно идеально находит баги - если идеальную багоискалку надо каждый раз запускать в полночь на Ивана Купалу, обсыпав вокруг лепестками расцветшего папоротника (честно-то говоря, версию которая тестила линукс кернел по описанию именно так, а bsd, скорее всего, еще хуже), или просто ради нее переделывать всю сборочную систему на совместимую с - скорее всего, будет выбрана неидеальная, но которую проще впихнуть в проект.
А уж потом, из этих неидеальных, понавыберут что получш...что выиграет тендер, гуляем-то не на свои ;-)

Ну а если ты уникум-меценат, гуляющий на свои в сложном проекте (Дуров, залогиньтесь!) - то опять же ты просто на нем и будешь сравнивать - включая не только что в принципе может система, но и что именно твои девелоперы с ней в руках смогут, а это может сильно отличаться от среднего по больнице.

А все эти анализы опенсорся - это чистой воды реклама для привлечения внимания, чтобы вообще о проекте вспомнили, когда будут выбирать тулзу. (ну и опять же, в игру "йа весь в белом" можно играть в две стороны - "мы каждый день помогаем исправлять ошибки в куче популярных проектов" - тоже неплохая строчка для ответа на тендерный запрос)

Опенсорсу от этого вполне очевидная польза, и совершенно неважно, сколько своего времени Карпов потратил в процессе и можно ли было обойтись деше...бесплатным инструментарием и получить результат проще, раз этого никто не сделал ;-) Ну кто вот хочет копаться в древнем даже не pci драйвере? А исправить в нем ошибку все ж таки надо, раз мы его не задепрекейтили по сей день.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

164. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Vkni (ok) on 09-Апр-17, 03:55 
> Ты в это правда хочешь верить, а не сонно моргнуть и попросить перейти к демонстрации?

Дык. Это надо быть умственно неполноценным, чтобы верить в "сравнения с конкурентами".

> А все эти анализы опенсорся - это чистой воды реклама для привлечения внимания, чтобы вообще о проекте вспомнили, когда будут выбирать тулзу.

Не, там много целей:

1. Реклама среди потенциальных пользователей (не покупателей).

2. Обучение контингента на примере.

3. Доптестирование продукта.

4. Повод для открытой беседы и обсуждения за-против, обсуждения недостатков для исправления на следующей итерации.

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

79. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +2 +/
Сообщение от Аноним (??) on 07-Апр-17, 16:52 
Хоть и реклама, но это действительно полезная реклама, вся бы реклама была такой как у PVS-Studio.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –4 +/
Сообщение от Гость (??) on 07-Апр-17, 17:05 
В чем польза от этой рекламы? Лучше поинтересуйтесь у них - почему они свою же программу не проверяли? Настолько уверены в квалификации программистов? Или просто не хотят обнародовать результаты?
К данному топику не относится, но может вам реклама и в "винде" нужна?
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

84. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Andrey_Karpov (ok) on 07-Апр-17, 17:16 
> В чем польза от этой рекламы? Лучше поинтересуйтесь у них - почему
> они свою же программу не проверяли? Настолько уверены в квалификации программистов?
> Или просто не хотят обнародовать результаты?

https://habrahabr.ru/company/pvs-studio/blog/279437/


Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

133. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Аноним (??) on 08-Апр-17, 07:39 
В коментариях выливают тонны грязи на компанию, инженеры которой разработали продукт и продают его. БЕСПЛАТНО собственными силами провели анализ опенсорс проекта. Пусть и в рекламных целях. Главное они внесли вклад в развитие опенсорса, чем  повысили лояльность к ним вменяемых людей из сообщества.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

90. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –2 +/
Сообщение от Аноним (??) on 07-Апр-17, 17:53 
Это все хорошо, а было ли хоть, что отправленное?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

129. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +/
Сообщение от Andrey_Karpov (ok) on 08-Апр-17, 00:23 
> Это все хорошо, а было ли хоть, что отправленное?

Не понял вопрос. Вы о чём? Если о патчах, то совсем чуть чуть, так как времени мало:

https://www.viva64.com/ru/b/0491/

https://www.viva64.com/ru/b/0487/

(см. там ссылки)

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

130. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  +1 +/
Сообщение от Аноним (??) on 08-Апр-17, 00:33 
Ну вообще-то да:
https://bugs.freebsd.org/bugzilla/buglist.cgi?email2=viva64&...
Причем, часть уже закрыли.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

180. "Эксперимент по выявлению уязвимостей во FreeBSD при помощи P..."  –1 +/
Сообщение от Andrey_Karpov (ok) on 13-Апр-17, 15:43 
P.S.

Мы перепроверили с помощью PVS-Studio свежую версию исходных кодов проекта FreeBSD. Git revision: 59fe28863e6a0903b50b37c616f21a2a865bbbf2

Мы немного поработали с отчетов, отфильтровав явно лишние на наш взгляд сообщения. В списке конечно всё равно осталось много ложных срабатываний, но дальше уже нет возможности убирать лишние предупреждения крупными группами. Оставшиеся предупреждения следует смотреть по отдельности.

Отчет выкладываем в двух форматах (tasks и csv). Тому, кто будет работать с отчетом в начале следует произвести автоматическую замену SOURCE_ROOT на нужный путь, чтобы правильно начала работать навигация.

Tasks: http://cppfiles.com/freebsd.plog.tasks

Csv: http://cppfiles.com/freebsd.plog.csv

Готовы помочь чем сможем и ответить на любые вопросы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру