Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код"	+/–
Сообщение от opennews (??), 26-Апр-23, 11:18
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8,... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59033
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Апр-23, 11:18	–8 +/–
ну что тут скажешь, уязвимости были, есть и будут, выбор ЯП от этого них спасает, такая уж архитектура современных пекарей и серверов
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #7, #14, #90

2. Сообщение от soarin (ok), 26-Апр-23, 11:21	–2 +/–
Да. Главное не быть луддитом, и во время затыкать дырки 🍩
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #82, #83, #93

3. Сообщение от Аноним (3), 26-Апр-23, 11:27	+11 +/–
Не совсем так. Это говорит об уровне разработки. Одно дело уязвимости в каких-то сложных алгоритмах и структурах данных, многопоточности и т.п. Другое дело не уметь обработать правильно чуть более длинную строку. Это днищенское дно ((
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #50

4. Сообщение от Аноним (5), 26-Апр-23, 11:29	–3 +/–
У тебя с детства заученное чувство вины и ты его на всех теперь проецируешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15, #94

5. Сообщение от Аноним (5), 26-Апр-23, 11:30	+/–
Луддиты тоже могут затыкать дырки, если ты понимаешь о чём я.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от НяшМяш (ok), 26-Апр-23, 11:52	–2 +/–
И кто-то внял голосу разума: https://github.com/Byron/gitoxide
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #27

8. Сообщение от Аноним (8), 26-Апр-23, 11:57	+1 +/–
Вот что бывает, когда вместо JSON используешь свой нескучный формат со своим нескучным парсером.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #21, #77

10. Сообщение от Аноним (16), 26-Апр-23, 12:01	+1 +/–
JSON не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12

11. Сообщение от Аноним (98), 26-Апр-23, 12:03	+2 +/–
CVE-2023-25815 переполнение буфера при обработке специально оформленных файлов Не, ну как же без этого...
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (8), 26-Апр-23, 12:08	+1 +/–
JSON нужен, а нескучные форматы не нужны, тем более если они дают CVE RCE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17

14. Сообщение от Аноним (15), 26-Апр-23, 12:19	+/–
> ну что тут скажешь, уязвимости были, есть и будут, выбор ЯП от этого них спасает, такая уж архитектура современных пекарей и серверов Суть CVE-2023-29007 в том, что необучаемые сишечные кудесники по привычке опять влепили "char buf[1024]" вместо использования нормального строкового типа. Так что конкретно от такого выбор ЯП как раз спасает. И коллеги спасают, не пропуская такую дрянь на ревью. Но ведь здесь сишники г*кодят на сишечке, поэтому такая дичь для них - это в порядке вещей и "было, есть и будет". По другому мы не умеем...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #24, #32, #81

15. Сообщение от Аноним (15), 26-Апр-23, 12:27	–3 +/–
Поработать бы сишникам в областях, где от ПО зависят человеческие жизни - вот тогда бы они узнали, что такое чувство вины. А так чел правильно написал. Одни сишечные г*кодеры десятилетиями продолжают писать сишечный г*код. Другие сишечные г*кодеры рассказывают, что это норма и иначе нельзя. Слава богу, что всех этих экспертов отфильтровал естественный отбор, и они еще в нулевых осели на выгребании вонючего embeddedда за гроши. Там им и место.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16, #18, #19, #22

16. Сообщение от Аноним (16), 26-Апр-23, 12:39	+12 +/–
Embedded это есть сфера от которой часто зависят человеческие жизни ты в интеллект вообще умеешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #25

17. Сообщение от Аноним (16), 26-Апр-23, 12:40	+1 +/–
Нет не нужен. У всего должен быть свой формат, вся это универсальщина зло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

18. Сообщение от Аноним (18), 26-Апр-23, 12:43	+2 +/–
> Поработать бы сишникам в областях, где от ПО зависят человеческие жизни очередной лунтик свалился, хехе https://www.misra.org.uk/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #48, #106

19. Сообщение от Проффесор (?), 26-Апр-23, 12:43	+2 +/–
Может сможешь привести пример ЯП или области где все шоколадно? Или только дерьмом поливать умеешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (8), 26-Апр-23, 12:49	+2 +/–
JSON нужен, а нескучные форматы, несовместимые между собой - не нужны. Иначе для N форматов придется писать M конвертеров из одного нескучного формата в другой. А это N + M уязвимых библиотек -- настоящее раздолье для любителей RCE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #29

21. Сообщение от Проффесор (?), 26-Апр-23, 12:50	–3 +/–
Зачем нужен JSON там, где его никогда не читает глазами человек? Для увеличения объема данных раз так в 6-10 ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #23

22. Сообщение от Местный эксперт (?), 26-Апр-23, 12:52	+/–
> Поработать бы сишникам в областях, где от ПО зависят человеческие жизни - > вот тогда бы они узнали, что такое чувство вины. > А так чел правильно написал. Одни сишечные г*кодеры десятилетиями продолжают писать сишечный > г*код. Другие сишечные г*кодеры рассказывают, что это норма и иначе нельзя. Да, то ли дело г@вн@код на других ЯПах, они ещё и выдают жирное потребление ресурсов, зато стильно, модно, молодёжно и со вкусом смузи, как вы это любите. xD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #100

23. Сообщение от Аноним (8), 26-Апр-23, 12:59	+4 +/–
$GIT_DIR/config предназначен для человека. Если бы не предназначался, то было бы проще его оформить в бинарном виде безо всяких JSON. Хотя бы минимально изучай тему, тогда удастся не приземляться с грохотом на лужу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #67

24. Сообщение от Аноним (60), 26-Апр-23, 13:10	+/–
> Суть CVE-2023-29007 в том, что необучаемые сишечные кудесники по привычке опять влепили "char buf[1024]" вместо использования нормального строкового типа. Эти твои нормальные строковые типы работают с кучей, чтоб раздвигать булк^W границы массива, а потому медленные. Этот char buf[1024] создается на стеке и это самый быстрый способ работать со строками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26, #43, #44, #46, #58, #70

25. Сообщение от Аноним (15), 26-Апр-23, 13:28	–1 +/–
Только вот не весь embedded написан на си. Если бы ты вылез из сишечного танка, то знал, что embedded, от которого зависят человеческие  жизни (тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС), еще с восьмидесятых не пишут на сях. Я уже представляю, как после условного падения самолета с N человеческих жертв сишечный кодер разводит руками: "ну что тут скажешь, уязвимости были, есть и будут...". Самому-то не смешно? Слава богу, таких горе-экспертов к серьезному программированию не допускают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #49, #64, #65, #75

26. Сообщение от Аноним (15), 26-Апр-23, 13:33	+3 +/–
Ох уж эти сишечные душевные терзания с выбором между скоростью и пачкой CVE. Ты профайлер-то запусти прежде чем говорить, какие части кода тормозят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Аноним (27), 26-Апр-23, 13:36	+1 +/–
Уязвимость - не в доступе в неразрешенное место памяти. А в обработке симлинков. Ваш раст бы от этого не защитил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #55

29. Сообщение от Аноним (16), 26-Апр-23, 13:39	–1 +/–
Чего тогда doc не перейдет на json? Да потому что твой json ненужен прими это как данность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #30, #31, #38, #41

30. Сообщение от Аноним (8), 26-Апр-23, 13:54	+5 +/–
Какой док? Док Эмметт Браун или какой-то другой? JSON - не серебряная пуля, применять его надо только там, где уместно. Хранение конфигов, предназначенных для человека - это уместно. А с твоими нескучными форматами наблюдаем RCE, потому что "шел сишник по буферу, видит - буфер уже закончился, вышел за его пределы и CVE-шнулся".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #33

31. Сообщение от _RORO_ (ok), 26-Апр-23, 13:57	+/–
Может потому, что MS не пытались сделать нормальный формат, а наоборот более сложный, чтоб никто его полностью не смог реализовать (libreoffice так и не смогли)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34, #45

32. Сообщение от Аноним (32), 26-Апр-23, 14:02	+/–
>вместо использования нормального строкового типа. Это какого, например? Даже в Аде несколько типов строк, потому что универсального решения для строк еще не придумали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #37

33. Сообщение от Аноним (16), 26-Апр-23, 14:06	+/–
В этой жизни кроме хранения конфигов ещё очень много интересных задач, которые тебе неведомы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35

34. Сообщение от Аноним (16), 26-Апр-23, 14:06	+/–
Нет формат документа сделанных на json это ещё хуже чем doc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от Аноним (8), 26-Апр-23, 14:15	+/–
Я бы не назвал изобретение очередного нескучного формата и RCE-парсера к нему "интересной задачей". Но возможно тебя это прикалывает, и ты готов этим заниматься всю жизнь. Для по-настоящему интересных задач у тебя времени не останется - будешь пилить нескучные RCE-форматы. А я использую JSON и другие изобретения человечества, поэтому занимаюсь только новыми задачами -- такими, к которым человечество еще не приступало. Стою на плечах гигантов. А ты путайся у гигантов под ногами со своими RCE-велосипедами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #66

36. Сообщение от ip1982 (ok), 26-Апр-23, 14:35	+3 +/–
> избегать выполнения команды "git apply --reject" Даже не знал о такой :)
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (15), 26-Апр-23, 14:40	+1 +/–
Любого динамически аллоцируемого. Вот конкретный фикс этого char[1024]: https://github.com/git/git/commit/528290f8c61222433a8cf02fb7...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #40

38. Сообщение от Аноним (15), 26-Апр-23, 14:45	+1 +/–
> Чего тогда doc не перейдет на json? Потому что современный doc (который docx) и так уже на html.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #39, #42

39. Сообщение от Аноним (15), 26-Апр-23, 14:47	+3 +/–
> уже на html (фикс) на xml.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

40. Сообщение от Аноним (98), 26-Апр-23, 14:48	+1 +/–
Ты чаво это! На куче выделять память очень долго!111 Оно же тормозить на всяком мусоре будет!!111
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Аноним (41), 26-Апр-23, 14:56	+1 +/–
Если ты про офисный doc, так его использовали до нулевых, а потом поняли, что получилась фигня и выкинули, перейдя на docx, который, внезапно, просто zip архив с набором xml файлов. Т.е. даже ms заюзала стандартизированные форматы, вместо самописных велосипедов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #78

42. Сообщение от _RORO_ (ok), 26-Апр-23, 15:00	+1 +/–
*на xml. Это разные вещи. Хотя лучше бы на html был, как markdown. Не лучший формат конечно, но хотя бы не такое нагромождение всякого ненужного, как OOXML (docx,xlsx,pptx) и читается любым браузером
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

43. Сообщение от Аноним (18), 26-Апр-23, 15:03	+/–
> это самый быстрый способ работать со строками и память освобождается автоматически
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

44. Сообщение от Бывалый смузихлёб (?), 26-Апр-23, 15:24	+2 +/–
> создается на стеке и это самый быстрый способ работать со строками. учитывая что тот разбор строк подразумевает чтение данных с диска, все эти ускорения дадут примерно нулевой результат
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

45. Сообщение от soarin (ok), 26-Апр-23, 15:25	+1 +/–
> Может потому, что MS не пытались сделать нормальный формат, а наоборот более > сложный, чтоб никто его полностью не смог реализовать (libreoffice так и > не смогли) Какой-то бред. 1) LibreOffice особо и не пытались. У них нет такой задачи, потому что у них другой формат документов во многом не совместимый. 2) У многих офисов для которых формат MSO родной (а это считай чуть ли не все кроме LO/OO) с совместимостью вполне нормально. 3) Проблемы с совместимостью есть везде при использовании сложных форматов для сложных задач. Даже между LO и OO поколов хватает. Как и глюков в самом LO.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

46. Сообщение от oficsu (ok), 26-Апр-23, 15:31	+2 +/–
А ещё можно написать строковый тип, который со строками до 1024 работает "быстро" (мы, конечно же, поверим на слово, что разница в быстроте обнаружима), а больше — корректно, но корректность — это... знаете ли, как-то не по нашему, не по сишному
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

47. Сообщение от Аноним (47), 26-Апр-23, 15:35	+/–
Просто строку обработать... C программисты во всей красе, лишь бы не аллоцировать кучу, зато сразу 5 CVE'шек на ровном месте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

48. Сообщение от Анонимусс (?), 26-Апр-23, 15:49	+/–
Мисра конечно крута, по ней код для всяких марсоходов пишут за охулиарды денег Но... как это применимо к пользовательскому софту? В ядре мисрой даже не пахнет - такое ***кодище невозможно на нее переписать, как и заставить тех же драйверописателей ее использовать. А про всякие поделки типа гита вообще говорить нечего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #53, #69, #76

49. Сообщение от Аноним (49), 26-Апр-23, 16:01	+/–
> embedded, от которого зависят человеческие  жизни [...] еще с восьмидесятых не пишут на сях Интересуюсь с целью саморазвития: а на чём пишут такое embedded?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #54

50. Сообщение от Анонин (?), 26-Апр-23, 16:03	+/–
Просто сишка - это пыхыпэ для системного программирования. Порог вхождения околонулевой, кодить на си можно научить даже обезьяну, а на баги, cve и всякие ub всем пофиг. Надо же быстрее фигак-фигак и релизить. Вот сишка и вытеснила нормальные надежные языки типа Ада из масс-маркета, потому что сишные быдлокоделы оказались дешевле нормальных программистов, а остальным языкам достались только узкие ниши. Потом уже, после кучи факапов, сишники начали задумываться как сделать это Г надежным. И первая мисра вышла аж в 1998 для с89/90, это ж через столько лет после самой сишки. И в большей часте свелось к запретам всяких динамических штук, потому что и так было понятно, что заставить ЭТО быть надежным никто не может, а отвечать за факапы не хотелось... в общем проще было запретить))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #51, #60, #73, #95

51. Сообщение от Аноним (15), 26-Апр-23, 16:22	–1 +/–
Все так и есть... Забавно при этом читать, как эти сишные макаки авторитетно заявляют "уязвимости были, есть и будут, выбор ЯП от этого них спасает". Сразу чувствуется уровень экспертизы и компетенции :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #56

52. Сообщение от Иваня (?), 26-Апр-23, 16:24	+/–
Перепиши на Rust
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #57, #59

53. Сообщение от name (??), 26-Апр-23, 16:26	+/–
Для начала, MISRA запрещает аллокацию на куче... всё - нигодится нидлячего, кроме ембеда в лифтах или автомобилях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

54. Сообщение от Анонн (?), 26-Апр-23, 16:26	+2 +/–
SPARK Ada, Misra C (там такое количество ограничений, что с Си оно связано только синтаксисом) Из более экзотичкского - Modula-2 - всегда хвастаются что на ней написан софт спутников ГЛОНАСС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #79

55. Сообщение от Аноним (15), 26-Апр-23, 16:28	+1 +/–
Но наш Раст защитил бы от CVE-2023-29007 и CVE-2023-25815 из новости, о которых ты решил тактично не упоминать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

56. Сообщение от name (??), 26-Апр-23, 16:29	+3 +/–
Мне интересно, как ты комментируешь новости об уязвимостях на rust. Покраснев обходишь стороной?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

57. Сообщение от Аноним (47), 26-Апр-23, 16:32	+/–
Уже переписали, надо попробывать разные имплементации
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #68

58. Сообщение от ИмяХ (?), 26-Апр-23, 16:34	+/–
>>это самый быстрый поспешишь - людей насмешишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

59. Сообщение от Аноним (15), 26-Апр-23, 16:48	+/–
> Перепиши на Rust Так уже есть: https://github.com/Byron/gitoxide
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #61

60. Сообщение от Аноним (60), 26-Апр-23, 17:03	+2 +/–
> Вот сишка и вытеснила нормальные надежные языки типа Ада из масс-маркета наркоман? Вытеснила оттуда, где Ады никогда не было? Ада появилась через 10 лет после С.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #62

61. Сообщение от Аноним (60), 26-Апр-23, 17:09	+1 +/–
Ты Byron? Просили тебя переписать, а не тыкать в чужое переписывание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Анонин (?), 26-Апр-23, 17:18	+/–
Первый стадарт на язык: Ada 87 - ISO 8652:1987 - 1987 год (хотя по факту еще раньше - ANSI/MIL-STD 1815A или "Ada 83" из 1983 без изменений перекочевал в ISO) ANSI C - 1989 год
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #71, #87

64. Сообщение от Michael Shigorin (ok), 26-Апр-23, 17:46	+/–
И что, сильно легче стало паре ошпареных на станции из-за того, что одни гении решили порулить вторым контуром на j2me, а ей приспичило хлам пособирать? Сдуйте щёки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #86

65. Сообщение от OpenEcho (?), 26-Апр-23, 17:50	+/–
> тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС), еще с восьмидесятых не пишут на сях. Как же NASA отстала от передовых анонимов блин, жалко за организацию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

66. Сообщение от Michael Shigorin (ok), 26-Апр-23, 17:51	+1 +/–
> занимаюсь только новыми задачами -- такими, > к которым человечество еще не приступало Кажется, у нас впервые комментируют марсиане :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #85, #89

67. Сообщение от Michael Shigorin (ok), 26-Апр-23, 17:53	+/–
> $GIT_DIR/config предназначен для человека А json?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #105

68. Сообщение от Michael Shigorin (ok), 26-Апр-23, 17:53	–3 +/–
Ошибку сами найдёте? (строго говоря, две, но сперва хотя бы очевидную)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #91

69. Сообщение от Аноним (18), 26-Апр-23, 18:14	+/–
> В ядре мисрой даже не пахнет но современные ракеты на обычном линуксе и С летают https://www.opennet.ru/opennews/art.shtml?num=53083 шах и мат военам супротив сишки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

70. Сообщение от Аноним (27), 26-Апр-23, 18:29	+1 +/–
То есть с функцией alloca вы не знакомы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #88

71. Сообщение от Аноним (71), 26-Апр-23, 18:41	+2 +/–
Одно дело стандарт, другое, когда сделали. С был сделан в 1969 году, годом релиза 1973 считается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

73. Сообщение от Анонимусс (?), 26-Апр-23, 19:45	+1 +/–
Ада изначально разрабатывалась вояками для написания критических систем, систем реального времени и всякого embedded. Сишка создавалась как "переносной ассемблер" для  ̶б̶ы̶д̶л̶о̶к̶о̶д̶и̶н̶г̶а̶ быстрого переноса программок с одной архитектуры на другую во времена PDP-11. А за счет своей  ̶у̶б̶о̶г̶о̶с̶т̶и̶ простоты компилятор для него мог написать практически любой погромист, чем многие и развлекались в 70х-80х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

75. Сообщение от Аноним (75), 26-Апр-23, 23:34	+1 +/–
> жизни (тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС), > еще с восьмидесятых не пишут на сях. Вообще-то в практически всех перечисленых немеряно сишного кода. А фирмвари микроконтроллерам (которые часто last line of defence) на чем кроме сей вообще писать, по большому то счету? > Я уже представляю, как после условного падения самолета с N человеческих жертв > сишечный кодер разводит руками: "ну что тут скажешь, уязвимости были, А представляете, самолеты еще и падают. И даже из-за софта. А ариан5 упал даже и с адой. Правда и там и там как раз обычно из-за алгоритмики. Для начала в внутреннюю сеть самолета совсем посторонних по задумке не очень то и пускают. Правда, с этим тоже были нюансы. Поэтому sci-fi где злой вирус перехватывает управление звездолетом постепенно перестает быть лишь sci-fi и понемногу становится буднями продвинутых инженерных систем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #96

76. Сообщение от Аноним (-), 26-Апр-23, 23:42	+/–
> Мисра конечно крута, по ней код для всяких марсоходов пишут за охулиарды денег Для начала по ней пишут код для автомобилистов. Который очень даже может убить своих пользователей внезапным глюком. А как вы думаете что с вами будет если ECU, ABS или что там еще начнет жить своей жизнью? Да даже просто отстрел подушек безопасности невовремя (это тоже микроконтроллер, мониторящий ускорение и его выход за безопасные пределы делает, с фирмварой на понятно чем) может вас угробить на раз. > Но... как это применимо к пользовательскому софту? Пользовательский софт это вообще глюкавый наколенный крап зачастую. Вон вам питоны электроны где кодеры даже не скрывают что они "время себе экономили". За счет всех остальных параметров софта, от жора ресурсов до забагованости. > В ядре мисрой даже не пахнет - такое ***кодище невозможно на нее > переписать, как и заставить тех же драйверописателей ее использовать. А линух тем не менее применяют и в довольно ответственных штуках. Если кто не понял, MISRA сама по себе не панацея. А автомотивщики, авиаторы, космос и индустриалы достигают надежность и безотказность целым комплексом мероприятий. Где замена 1 яп на другой мало что меняет. > А про всякие поделки типа гита вообще говорить нечего. Гит критичными системами не рулит. А если что-то ну вот совсем сломается, бэкапы есть. Особенно у гита где бэкапом является каждая клонированая репа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #99

77. Сообщение от Аноним (-), 26-Апр-23, 23:45	+/–
> Вот что бывает, когда вместо JSON используешь свой нескучный формат со своим > нескучным парсером. Коректно парсить все приколы которые JSON позволяет - это целый отдельный квест. Далеко не любая программа вообще готова сжевать произвольно слепленый JSON без тех или иных спецэффектов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

78. Сообщение от Аноним (-), 26-Апр-23, 23:49	+/–
> Если ты про офисный doc, так его использовали до нулевых, а потом > поняли, что получилась фигня и выкинули, Эта "фигня" является чем-то типа виртуальной ФС так то, и используется газилионом майкрософтовских тулсов во всех закоулках и по сей день. > перейдя на docx, который, внезапно, просто zip архив с набором xml файлов. ...со спеками на 6000 страниц, фоточку ЭТОГО можно у гугл картинок попросить. После чего народ попробовал по этим спекам файлы делать и оказалось что мсовский же эксель и ворд не открывают самые тривиальные примеры сделаные по майкрософтовским же спекам. > Т.е. даже ms заюзала стандартизированные форматы, вместо самописных велосипедов. И получилась фигня под другим соусом. И тоже самописный велосипед - потому что ODF на тот момент уже был стандартом, и они продавливали второй стандарт для одного и того же. Почему его за это "самописным велосипедом" не назвать бы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #84

79. Сообщение от Аноним (79), 27-Апр-23, 00:09	+/–
Спасибо, почитаю на досуге!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #80

80. Сообщение от Аноним (-), 27-Апр-23, 00:51	+1 +/–
> Спасибо, почитаю на досуге Лучше Embedded C Coding Standard by M. Barr почитать и тому подобное по смыслу. Это более реалистичное нечто. Мисру кстати сложно прочитать нахаляву легально, заживают ее, увы. И читать это надо не как истину в последней инстанции а для понимания общих принципов "antibug" и "понятного кода, который подлежит майнтенансу". Если вы не клали в поле грабли, вы не получите ими в лоб. А на аде пишут очень сильно некоторое только и по популярности она ни в какое сравнение с си. Даже прсото найти вакансию на этом уже целый квест.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

81. Сообщение от Аноньимъ (ok), 27-Апр-23, 00:59	+/–
Скажите спасибо что не на баше говнокодят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

82. Сообщение от Аноним (82), 27-Апр-23, 02:10	–1 +/–
Одну дырку заткнут, две добавят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

83. Сообщение от поссы на меня (?), 27-Апр-23, 04:27	–1 +/–
пожалуйста
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

84. Сообщение от soarin (ok), 27-Апр-23, 06:10	+/–
> ...со спеками на 6000 страниц Да. Так и ODT к этому подбирается. А то как новость про новый формат ODT. Так там постоянно что-то что в MSO уже двадцать лет есть. А потом конечно вся это очень сложная штука кривит и ползёт. Тоже самое что с CSS в браузерах. Так-то на простых задачах не бабахает, когда мы в рамках RTF. Ну может ещё таблицы простые без оформления. А как сложнее, то привет. У сложных задач нет простого решения. И ODF это тоже касается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

85. Сообщение от Матцумото (?), 27-Апр-23, 09:26	+/–
Первый контакт, получается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

86. Сообщение от Аноним (86), 27-Апр-23, 09:41	+/–
На PHP! Очевидно, речь идёт о Ada/SPARK и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

87. Сообщение от Аноним (60), 27-Апр-23, 09:42	+1 +/–
И как же страуструп свой С++ писал поверх Сишки за два года до того, как эта сишка появилась. Да, еще UNIX написали на языке созданном в будущем, и sendmail. Сарказм, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

88. Сообщение от Аноним (60), 27-Апр-23, 09:44	+/–
Знаком, но она может стек повредить при неправильном использовании. Примерано как VLA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #97

89. Сообщение от 1 (??), 27-Апр-23, 09:52	+/–
или рептилоиды (не впервые)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

90. Сообщение от anonymous (??), 27-Апр-23, 11:24	–1 +/–
Тут не выбор ЯП решает, а архитектура. git - это нагромождение скриптов, понятное дело, что они глючат. Не хочешь таких багов, используй софт, который разрабатывается как единое целое, например Fossil
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

91. Сообщение от Аноним (91), 27-Апр-23, 12:40	+1 +/–
Почему вы ищите ошибки в написании, когда у вас у самого море ошибок в мышлении. Но да, за то знаете как писать. И скорее всего, эти знания только в этой области ограничивается. (В каждой дырке - затычка)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #101

92. Сообщение от InuYasha (??), 27-Апр-23, 13:10	+1 +/–
C'mon please help me doctor git - Моя бошка уже болит...
Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от Антонимка (?), 27-Апр-23, 17:03	+/–
> Главное не быть луддитом, и во время затыкать дырки 🍩 Главное ерунды не писать, как спешунчики. И тогда неолуддитам новое тоже начнёт нравиться. Проблема в глупости, а не новизне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

94. Сообщение от Антонимка (?), 27-Апр-23, 17:05	+/–
> У тебя с детства заученное чувство вины и ты его на всех теперь проецируешь. Посмотри код SVN и Git. Сравни. Это объясняет критицизм Гита.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

95. Сообщение от Антонимка (?), 27-Апр-23, 17:08	+/–
> Просто сишка - это пыхыпэ для системного программирования. Кодить можно на чём угодно научить кого угодно. А вот понимать чужой код... ;))))))))))))) Си - это то, как работает процессор. А потому и сейчас хорошо и ещё долго будет хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #98

96. Сообщение от n00by (ok), 27-Апр-23, 17:12	+/–
>> жизни (тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС), >> еще с восьмидесятых не пишут на сях. > Вообще-то в практически всех перечисленых немеряно сишного кода. А фирмвари микроконтроллерам > (которые часто last line of defence) на чем кроме сей вообще > писать, по большому то счету? "Yeah, I thought some time back that it would be a week till I got back to my dev system. But the 737MAX thing has turned into a really big problem. I should refrain from predicting an end time. As it looks now it might be never. Sigh." Это пишет автор fasmarm https://board.flatassembler.net/topic.php?p=211090#211090 Интересно, зачем ему было надо адаптировать flat assembler под ARM?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

97. Сообщение от n00by (ok), 27-Апр-23, 17:23	+/–
Ну поскольку к тому же хорошо знакомы с оптимизацией, значит слышали о спекулятивном исполнении и предсказателе переходов. То есть проверка займёт 0 тактов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

98. Сообщение от Аноним (98), 27-Апр-23, 22:09	+1 +/–
> Си - это то, как работает процессор. Угу, процессор где-то из 70х, примерно оттуда же родом что этот копролит. Где нет многоуровневых кешей, многоядерности, спекулятивного выполнения, где ради пары тактов готовы удавиться и выкинуть любые проверки, и заодно получить пару cveшек. > А потому и сейчас хорошо и ещё долго будет хорошо. И сейчас баговоный кусок, и таким и останется до скончания времен. Ибо обратная совместимость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #103

99. Сообщение от Аноним (3), 27-Апр-23, 22:28	+/–
Это до тех пор пока новая версия git не попортит КАЖДУЮ локальную репу))) Это лишь вопрос времени, если такая бага просочится Вон, на React Native новый релиз случайно поломал сборки всех прошлых версий приложений, те вообще всех приложений в мире
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

100. Сообщение от Аноним (3), 27-Апр-23, 22:32	+/–
Там хотя бы библиотеки есть и структуры данных))) Здесь как бомжара шаришься чтобы по всему интернету чтобы собрать всякие ring buffer, queue, linked list, red black tree, etc. Вообще ничего нормального нет 🤣 Либо писать своё наколеночное г.но. Но зная уровень Сишников уровень этих поделок предсказуем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #104

101. Сообщение от Аноним (-), 28-Апр-23, 04:01	+/–
Шегорин знаток языков программирования, он на них собаку съел. И в архитектурах процессоров разбирается лучше всех. Не совсем ясно почему он позорным мейнтенером при этом работает, а не программистом и не разработчиком железа... я думаю это изза поцреотизма, а не потому, что на самом деле он нихрена не понимает ни в чём.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

103. Сообщение от Аноним (104), 28-Апр-23, 09:57	+/–
> заодно получить пару cveшек это ерунда, через год ИИ всё будет находить а вот что делает наркоманский раст проверить невозможно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

104. Сообщение от Аноним (104), 28-Апр-23, 10:21	+/–
> Здесь как бомжара шаришься чтобы по всему интернету чтобы собрать всякие ring buffer, queue, linked list, red black tree, etc. это проблема не языка а тупых поисковиков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

105. Сообщение от PnD (??), 28-Апр-23, 10:49	+/–
А json предназначен для удобной сериализации сообщений при передаче из точки А в точку Б. Отсутствие комментариев в дизайне как бы намекает. Да, с некоторой (но гораздо скромнее чем в XML) избыточностью. Зато с возможностью кожаного мешка влезть в процесс с минимальным инструментарием (jq например). Разумеется, конфиги тоже можно так хранить (как частный случай передачи сообщений). Но в первую очередь те что программа сохраняет сама для себя. Для человекообразных придумали TOML. В простых случаях можно ограничиться "INI" или YAML. Нотации вида "ключ = значение" получили широкое распространение хотя бы потому что прошиваются в голову в рамках школьного курса математики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

106. Сообщение от Аноним (106), 29-Апр-23, 12:30	+/–
https://repository.tudelft.nl/islandora/object/uuid:646de5ba... "From the data obtained, we can make the following key observations. First, there are 9 out of 72 rules for which violations were observed that perform significantly better (α = 0.05) than a random predictor at locating fault-related lines. The true positive rates for these rules range from 24-100%. Second, we observed a negative correlation between MISRA rule violations and observed faults. In addition, 29 out of 72 rules had a zero true positive rate. Taken together with Adams' observation that all modifications have a non-zero probability of introducing a fault, this makes it possible that adherence to the MISRA standard as a whole would have made the software less reliable."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема