The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

79% встроенных в код сторонних библиотек никогда не обновляются

27.06.2021 10:43

Компания Veracode опубликовала результаты исследования проблем с безопасностью, вызванных встраиванием открытых библиотек в приложения (вместо динамического связывания многие компании просто копируют в состав своих проектов нужные библиотеки). В результате сканирования 86 тысяч репозиториев и опроса около двух тысяч разработчиков определено, что 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются.

При этом устаревший код библиотек становится причиной проблем с безопасностью, которых в 92% случаев можно избежать простым обновлением кода библиотеки. Отговорки, что обновление библиотек не производится из-за возможного нарушения совместимости, в большинстве случаев беспочвенны, так как в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.

Влияние также оказывает информирование разработчиков о появлении уязвимостей - в случае, если разработчики были уведомлены о проблеме в библиотеке, в 17% случаев проблема решалась в течение часа, а в 25% - одной недели. При наличии информации о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев исправление выпускалось в течение трёх недель, а без предоставления сведений - устранения уязвимости приходилось ждать 7 и более месяцев. Четверть опрошенных разработчиков заявили, что при выборе библиотеки для встраивания основное внимание уделяется функциональности и лицензии на код, а уже потом учитывается безопасность.

Примечательно, что с проверкой лицензий на код ситуация не лучше - 54% опрошенных признались, что не всегда проверяют лицензию на код библиотеки перед её интеграцией в свой продукт. Обязательную проверку лицензионной совместимости практикуют только 27% опрошенных.

  1. Главная ссылка к новости (https://www.veracode.com/blog/...)
  2. OpenNews: Анализ использования фрагментов уязвимых библиотек в исполняемом коде
  3. OpenNews: Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек
  4. OpenNews: Анализ использования ассемблерных вставок в коде открытых проектов
  5. OpenNews: Инструментарий для выявления скрытых уязвимостей, возникающих из-за использования стороннего кода
  6. OpenNews: Обратная сторона систем распространения приложений в обход дистрибутивов
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/55396-lib
Ключевые слова: lib, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (273) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, n00by (ok), 10:48, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    27% обязательно проверяют лицензию на совместимость
    54% не всегда проверяют лицензию на совместимость
    19% - ?
     
     
  • 2.2, OnTheEdge (ok), 10:51, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    буратины
     
  • 2.3, proninyaroslav (ok), 10:52, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну, логично что не проверяют вообще)
     
     
  • 3.76, n00by (ok), 12:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Мне не раз предлагали творчески переработать GPL софт и продавать без исходников. На отказ удивлялись и недальновидно заявляли "да тут очередь из исполнителей". :)
     
     
  • 4.186, rshadow (ok), 20:14, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он вроде и так без проблем продается. Особенно на таких закрытых платформах как плей и апстор.
     
     
  • 5.198, Аноним (198), 22:29, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    И на госзакупках
     
     
  • 6.222, Фотошоп лучше (?), 06:51, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как ломать нумерацию версий -так у нас нет обратной совместимости, а как "проблемы с безопасность", так у нас все совместимо.
     
  • 5.228, n00by (ok), 08:05, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Продаётся. А помимо закрытых платформ есть лоббирование и другие способы заменить авторов SJW-активистами. Интересно бы ещё где-то посмотреть %, сколько из апологетов свободы, которые учат как и под какой лицензией правильно писать ПО, что-то сами написали.
     
  • 4.261, Аноним (261), 08:35, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А чего не согласился? Твоего имени там не будет, с деньги за работу бы получил. 👍

    Да и на нарушения гпл всем плевать с высокой колокольни, особенно в РФ. Зарабатывай-нехочу.

     
     
  • 5.265, n00by (ok), 10:17, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что бы Вам осталось на покушать. Главное, в кредиты в расчёте на "деньги за работу бы получил 👍" не влезайте.
     
  • 2.6, ыы (?), 10:57, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    определить не удалось.
     
  • 2.11, Аноним (11), 11:03, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >    19% - ?

    прибегает автор нужного и важного патча, поменявшего colour на color в комментарии, и бьет себя пяткой в груть - я, у мамы, разработчик этой библиотеки! Вы украли мою лицензию, немедленно уберите и прекратите!

    (можете посмотреть на образцового м-ка подобного типа в ruffle)

    Авторам кода не до того - они херачат код, кто бы мог подумать! Да и было ли автору патча убирающего лишние пробелы, чем?

     
     
  • 3.171, Аноним (171), 18:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В исследовании не раскрыто сколько процентов разработчиков пересчитывают лицензии всех встраиваемых библиотек при их обновлении. Лицензии же могут  поменяться.

    Про "отговорки" вообще шизофрения написана. То что в 70% патчи безопасности шли отдельным коммитом не означает, что в проекте больше не было коммитов , в том числе ломающих совместимость. В итоге 30% это не так и мало, грубо, каждое 3 обновление вероятно может что-то сломать, не говоря уже о том, что и патчи безопасности могут что-то сломать и автор может коммитнуть нерабочий код.

    Да и разработчики библиотек все такие нарисованы в белом, хотя автотесты не в состоянии написать, а разработчики, что их библиотеки используют прям диверсанты.


     
  • 3.201, Аноним (201), 22:35, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    whitelist на allowlist
     
  • 2.38, Аноним (38), 11:35, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    19% - по.уисты
     
  • 2.44, Bx (ok), 11:50, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они просто не понимают, что делают. Вот такой обращается ко мне, говорит, слева вверху кнопка, на нее нажать нужно. Обращается через моего руководителя, я его рабочий стол смотрю. Нет кнопки. Она из интернета подтягивается.
     
  • 2.68, Анонимъ (?), 12:19, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –22 +/
    19% используют современные ЯП вроде Rust и не задаются такими глупыми вопросами. В конце концов зачем проверять вручную, если при наличии инфраструктуры можно автоматизировать сей скучный процесс проверок и обновлений.
     
  • 2.147, Anonymoustus (ok), 15:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    19 % — NaN.
     
     
  • 3.168, n00by (ok), 18:05, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это больше бесконечности.)

    0x7ff0000000000000 - Infinity

    0x7ff0000000000001 - NaN
    ...
    0x7fffffffffffffff

     
     
  • 4.196, Anonymoustus (ok), 22:15, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это больше бесконечности.)

    А поправка на военное время?

     
     
  • 5.235, n00by (ok), 09:17, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В случае применения спецназа или ЯО всё ПО становится свободным?))
     
  • 4.199, Аноним (198), 22:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Долбаный JS
     
     
  • 5.236, n00by (ok), 09:24, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В таком виде сравнить - это надо уметь и постараться.
     
     
  • 6.258, Аноним (258), 19:51, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да я и не считаю JSников глупыми. Там просто доширак в коде, что тока квантовый компьютер разрулит. Мне недавно пришлось касаться фронта, это после бэка и Си. Моск сломался.
     
  • 2.166, Козлетто (?), 17:27, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чему вы удивляетесь? Большинство качают свои сериалы и музыку с торрентов. Уж с софтом как будто кто-то заморачивается?
     
     
  • 3.172, Аноним (171), 18:42, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну раз свои качают, то в чём проблема?
    Вот если бы чужие, тогда да, прям мировая проблема была бы.
     
  • 2.195, Аноним (195), 21:59, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Плюю на все лицензии и никогда их не читаю. Публикую свой код под Unlicense/WTFPL/PublicDomain и прописываю это только в COPYING и не засоряю этим файлы с кодом. 19% нас таких?
     
     
  • 3.204, Аноним (204), 00:05, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не вас альтернативно одаренных гораздо больше.
     
  • 3.224, n00by (ok), 07:10, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Порадуйте, пожалуйста, ссылочкой на публикации.
     
  • 3.263, Аноним (261), 08:38, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Молодец! Поклон и уважуха! 😻

    Пихать вирусную гпл - не уважать свой код и его пользователей.

     
  • 2.259, Аноним (259), 07:26, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У нас в корпе большая, известная, японская, работаю в Токио обязательная прове... большой текст свёрнут, показать
     
     
  • 3.260, Аноним (259), 07:27, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Извините за ушлёпищный английский шрифт, в браузере почему-то только полноширинная клавиатура работает.
     

     ....большая нить свёрнута, показать (31)

  • 1.4, OnTheEdge (ok), 10:54, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    работает -- не трогай ®
     
     
  • 2.7, myhand (ok), 10:57, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Ну да.  Бэкдор же тоже можно рассматривать как часть функционала программы.
     
     
  • 3.164, Твоя совесть (?), 16:54, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    После выявления бэкдора состояние программы уже следует характеризовать не как "работает", а как "сломано", поэтому да, принцип сохраняется. "Не сломано - не чини". Сюда же. Обновления ради обновлений не нужны и несут только распухание кода и потерю совместимости.
     
     
  • 4.202, Аноним (201), 22:37, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После выявления бэкдора логично срочно запилить невыявленный бэкдор.
     
  • 2.60, vitektm (?), 12:13, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А потом  у тебя базу скачали и на сайте разместили криптомайнер/или редирект .
    И потом ой а мы вылетели из выдаче в яндаксе/гугле ой а что делать ??? И реальные убытки каждый день.
     
     
  • 3.246, Аноним (246), 10:43, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А если одновишь либу у тебя сломается обратная совместимость и отвалятся клиенты которые дают деньги. Лучше уж слить базу с точки зрения бизнеса, а потом прислать требование сменить пароль, ибо они все равно хэшированы и задолбаются использовать радужные таблицы.
     
  • 2.229, WE (?), 08:32, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Копируешь из своего репозитория - дыра в безопасности, нет обновлений. Копируешь из стороннего репозитория - дыра в безопасности, неподконтрольный код.
    Выбор меньшего из зол.
     

  • 1.5, Аноним (5), 10:54, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Это говорит о том, что большинство программистов - некомпетентные говнокодеры.
     
     
  • 2.13, Dzen Python (ok), 11:03, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Это говорит всего лишь о том, что у большинства разработчиков над душой стоит очень слабо разбирающийся в разработке дедечка/тетенька/комитет, выкатывающие нереальные сроки, режущие по живому бюджет и вообще, всячески мешающих процессу, вместо заявленной им "помощи".

    *Летела ракета - упала в болото. Какая оплата (какие условия, какие делайны, etc) - такая работа!*

     
     
  • 3.88, n00by (ok), 12:41, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Например, "разработчики" Rosa Tresh хвалились, что у них там полная свобода и демократия. Обещали в прошлом году выпустить версию, которая по плану должна было выйти ещё в 2018-м, потом в 2019-м. До сих пор обещают. Лишь недавно опубликовали какую-то альфу, поскольку прежняя версия 2016  ̶с̶о̶в̶с̶е̶м̶ ̶п̶р̶о̶т̶у̶х̶л̶а̶  в 2021-м выглядит странно.
     
     
  • 4.155, Аноним (155), 16:28, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вот опять наш поехавший на никому нафиг не сплющившимся дистре. Поаплодируем господа, его тупой настойчивости в повышении индекса цитируемости этой ненужной шняги!
     
     
  • 5.156, n00by (ok), 16:33, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А вот опять наш поехавший на никому нафиг не сплющившимся дистре.

    Кстати, в прошлый раз Вы так и не представились. Почему? Вы, случаем, не тот фанат Rosa Tresh, который считает, что он одновременно Виндос и Опух? https://www.opennet.ru/~ВыньОпух

    > Поаплодируем
    > господа, его тупой настойчивости в повышении индекса цитируемости этой ненужной шняги!

    Ну, Вы определитесь. Она же Вам не нужна. Но Вы про неё пишете, и меня преследуете заодно.

     
     
  • 6.257, русский штамм шизовируса (?), 18:17, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сударь, вам самим не смешна ситуация, в которой вы, приняв изрядно от росы треш, принимаете теперь от альта, а когда его сожрёт астра, то и от астры будете принимать кое-что кое-куда?
     
     
  • 7.262, n00by (ok), 08:35, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, над чем тут смеяться. Слова вроде знакомые, но в законченную мысль не складываются. Развернёте её?
     
  • 4.214, vitalif (ok), 01:53, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Их же там два калеки осталось, удивительно что вообще выпустили
     
     
  • 5.225, n00by (ok), 07:13, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Выпустили - это когда на официальном сайте и в новостях анонсировано, а не когда выкладывают что попало, поскольку пользователи который год просят и уходят. И двое их оставалось после банкротства, когда они клянчили "помогите". Потом выкружили финансы и желающих "помочь" прибавилось.
     
  • 3.101, Аноним (101), 13:02, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Я бы еще добавил, что обратная совместимость у большинства библиотек напрочь отсутствует. На примере libgit2 - от версии к версии интерфейсы перелопачиваются, желание переводить проект на новую версию отпадает.
     
     
  • 4.126, Урри (ok), 13:43, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да что тут говорить, если даже широко рекламируемые ЯП (не буду называть чтобы не провоцировать контекстный срач) таким страдают.
     
  • 4.231, Аноним (201), 08:37, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Всё правильно делают. Не с недоработангым API же до тепловой смерти вселенной сидеть.
     
  • 2.21, Аноним (21), 11:12, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Это говорит о том что нужно использовать репозиторий, такой как npm, composer и maven, а не копировать исходный код.
     
     
  • 3.25, Shshsh (?), 11:16, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пропадает интернет, вы на объекте без оного и т.п. и вы его не соберете.
     
     
  • 4.79, Аноним (79), 12:34, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему? Есть кэширующие прокси реестры. Например verdaccio для npm
     
  • 4.100, Аноним (100), 12:59, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    maven и gradle сохраняют в кэш, один на все проекты
    npm скачивает в каталог node_modules каждого проекта
    в yarn 2 сделан так что позволяет каталог с библиотеками сохранять в git репозиторий и при этом установочные скрипты выполнялись. Даже CI даже не понадобится интернет.
     
  • 4.104, Аноним (100), 13:06, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у maven кэш в HOME/.m2 и у gradle в $HOME/.gradle/caches/
    они не выкачивают библиотеки для каждой сборки. Даже если новый проект создать они возьмут библиотеки из кэша
     
  • 4.211, Aukamo (ok), 01:08, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Используйте Rust. У пакентого менеджера cargo есть опция --offline которая позволяет не только собрать бинарник, но и документацию по используемым пакетам, если вдруг на некое время прервался доступ к интернету.
     
  • 3.192, Тфьу (?), 21:08, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > нужно использовать репозиторий, такой как npm, composer и maven, а не копировать исходный код.

    это так не работает. в энтерпрайзе значительная часть софта не разрабатывается активно, а лишь поддерживается в рабочем состоянии. и постоянно гнаться за ломающими изменениями в сотнях библиотек никто никогда не будет. да и концепция контейнеров, которая нынче популярна, тоже этому не способствует, побилдил контейнер и используешь его 10 лет без изменений.

     
  • 3.200, Аноним (198), 22:34, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эти npm бегут впереди головы, делать ради делания. Они только своё перевелосипедируют, а тебе еще всё переперевелосипедировать у себя надо из их велосипедов. Но также немало и умерших проектов, дойдут до версии 1.0.0, в портфолио положат, и досвидося.
     
  • 2.136, Аноним (136), 14:17, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а чо ты хочешь от картизоловых оленяк-работяг
     
  • 2.276, Аноним (276), 13:40, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее о том, что современные инструментальные средства хреново развиты. Это тольок молодые реализации языков вроде Node, Python, Java моуг похвастаться NPM, PIP, MVN и другими пакетыми менеджерами, а вот что делять сидятлам? Они с трудом собрали свои говноскрипты башевые что бы хоть что-то заработало, а тут надо что-то обновлять.

    Пока какой-нибудь meson или conan не дорастет до индустриального стандарта все это будет фактом!!!!

     
     
  • 3.277, Michael Shigorin (ok), 14:52, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > а вот что делять сидятлам?

    Что вам таким делать (окромя как флудерасить про незнакомые языки, как вот ржавый наброс в теме про neovim рядом Ваш был) -- не знаю, а сишники давно уж изобрели операционные системы и их дистрибутивы.

    Рис. 1: "Свинья под Дубом" // по одноименной басне И.А. Крылова

     

  • 1.8, Аноним (21), 10:59, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Вот поэтому во всех нормальных языках используют репощитории. frontend можно просто сделать npm update и всё обновиться согласно правилам, а не абы как.
    В spring вообще достаточно обновить версию spring boot
     
     
  • 2.10, Аноним (21), 11:01, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Npm даже об уязвимостях предупреждает
     
     
  • 3.213, Аноним (213), 01:33, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    про leftpad он тоже предупреждал?
     
     
  • 4.273, Аноним (273), 23:14, 30/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    помнити
     
  • 2.15, Аноним (11), 11:06, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > frontend можно просто сделать npm update и всё обновиться

    только работать перестанет. Не смотря на заявления о том что "мы только устранили баги, зуб даем, совместимо-совместимо".

    См, опять же, репо единственного вроде бы нужного проекта на "нормальном языке" - сколько совершенно нечеловеческих усилий тратится на бессмысленные "bump version ...." - а сколько там реально кода.

     
     
  • 3.40, Аноним (21), 11:38, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Новость о том что разработчики не тратят время на bump version того что скопипастили. Они молодцы и правильно делают

    Typescript в строгом режиме и java при измени api в большинстве случаев просто не скомпилируют это будет видно сразу.

     
     
  • 4.78, Аноним (11), 12:34, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да Они занимаются вместо этого - разработкой, использовав результат чужого труд... большой текст свёрнут, показать
     
     
  • 5.93, Аноним (93), 12:51, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  с наименьшей потерей своего времени

    не своего, а бизнеса. сильно разные вещи. иначе на зп прогерам не хватит

     
     
  • 6.165, Аноним (11), 16:59, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Те же самые это вещи. В случае отсутствия какого-либо бизнеса за спиной -  "зп прогеров и их свободного времени, тратимых на хобби-проект, не хватит", чтобы довести его до более-менее законченного состояния. Все усилия уйдут на фуфел - погоню за новыми и новейшими версиями библиотек.

     
  • 2.16, Dzen Python (ok), 11:07, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Разрабочик Larry Hullison продал компании Huei LaoWei Pedul HongKongPong Inc. права на библиотеку SuperHellYeahJSONSmooozyFractalEditor.
    > B npm автоматом прилетела свежая версия с трояном от китайцев

    Да...

     
     
  • 3.37, Аноним (21), 11:32, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Автоматически она не прилетит потому что npm сохраняет версию и хэш. При каждом npm install будет прилётать одно и тоже, даже если в новой версии появился троян.
    А если обнаружется уязвимость то npm о ней будет сообщать.

    > Разрабочик Larry Hullison продал компании Huei LaoWei Pedul HongKongPong Inc. права на библиотеку SuperHellYeahJSONSmooozyDzenEditor.
    > настоящий разработчик скопировал себе версию с трояном и следующие 20 лет она так и лежала в lib

     
     
  • 4.50, Annoynymous (ok), 12:00, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Автоматически она не прилетит потому что npm сохраняет версию и хэш.

    И чем это тогда отличается от встраивания библиотек?

    Логика не очень понятна большинству комментаторов опеннета.

     
     
  • 5.84, anonymous (??), 12:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вероятно тем, что автоматически сообщается об уязвимостях, и исправить их можно одной командой.
     
     
  • 6.116, Аноним (93), 13:16, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Одна команда, которая исправляет уязвимости, класс!
    Че за команда? Фиксики?

     
     
  • 7.121, Аноним (100), 13:33, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    npm audit fix
     
     
  • 8.209, Аноним (209), 00:21, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не всегда работает, к сожалению На моей практике обновляются порядка 5 пакетов... текст свёрнут, показать
     
  • 5.120, Аноним (100), 13:33, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    тем что библиотеками управляет npm Не анонимный комментатор opennet лезет в git... большой текст свёрнут, показать
     
     
  • 6.138, Annoynymous (ok), 14:27, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это имеет смысл, если этим пользоваться.

    В 79% продуктов этим, разумеется, никто пользоваться не будет — качнул, работает и ладно.

     
  • 3.232, Аноним (201), 08:39, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Справедливо для любого репозитория и любого пакетного менеджера. Нужно Окончательное Решение этого вопроса средствами language-based security.
     
  • 2.65, vitektm (?), 12:15, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    с обновлением часто может поломаться сайт, а может оказаться так что для одной библиотеки можно jq  обновить до последней а для другой  нет.
     

  • 1.9, Dzen Python (ok), 11:00, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    146% разработчиков - разработчики.
    5% разработанных программ - могут считаться секурными на 100%
    80% всего бюджета разработки съедают 20% менеджеров, вставляющих 80% педуль разработчикам.
     
  • 1.12, Аноним (12), 11:03, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бандлинг дно, сегодня VCS позволяют указывать конкретные поддерживаемые версии сторонних зависимостей и подгружать их автоматически. Примерно 100% проектов бандлит зависимости просто так, большинство при этом не позволяет цеплять другие версии (скажем, системные) совершенно без причины (хотя поддерживаемые версии могли бы и указывать, это не так сложно обнаружить проблемы при самом минимальном тестировании).
     
     
  • 2.17, Аноним (17), 11:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > конкретные поддерживаемые версии сторонних зависимостей

    Удобно ты придумал.
    А что если уязвимость исправлена в версии 2.99.1, а у тебя 1.01?
    Кто заплатит программисту за работу с BC при переходе с 1.05 -> 2.99?

    Дядя Петя? Тётя Мотя?

     
     
  • 3.55, Michael Shigorin (ok), 12:08, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А потом спрашивают -- зачем нужны дистрибутивы, или затягивают сагу про обои...
     
     
  • 4.74, Аноним (93), 12:29, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это то чем занимаются разработчики дистрибутивов? тут мои познания на уровне тумбочки, можешь пояснить свой коммент?
     
     
  • 5.94, n00by (ok), 12:52, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это то, чем они по замыслу должны заниматься.

    На деле "разработчик" Rosa Tresh сочинял сегодня рифму:

    Арчем деб манжит кубину
    Улыбок тебе, дед Макар.

     
     
  • 6.135, Аноним (135), 14:11, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Чел, вот прям жаль тебя даже.
    Плюнь ты на эту росу.
    Ну кинули, ну да, бывает со всеми.
    Живи спокойно дальше, эти сами сдохнут.
    Лучше что нибудь полезное сделай или приятное, чем вот так с обидкой няньчиться.
    Неужели других достижений в жизни нет, всё роса украла?
     
     
  • 7.141, n00by (ok), 14:43, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Чел, вот прям жаль тебя даже.

    Да-да. Где-то я уже это слышал. https://lurkmore.to/Мне_вас_жаль

    > Плюнь ты на эту росу.

    Я и плюю, как Вы просите. Одновременно отвечаю человеку на его вопрос. Они служат примером. Все довольны. Кроме Вас.

    > Ну кинули, ну да, бывает со всеми.

    Точно, кинули своего работничка Алзима. https://www.opennet.ru/openforum/vsluhforumID3/124359.html#204

    > Живи спокойно дальше, эти сами сдохнут.
    > Лучше что нибудь полезное сделай или приятное, чем вот так с обидкой
    > няньчиться.
    > Неужели других достижений в жизни нет, всё роса украла?

    Я и делаю. Вас то что так волнует?

     
  • 5.280, Michael Shigorin (ok), 15:57, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > это то чем занимаются разработчики дистрибутивов?

    В том числе...

    Однодневок и единороллингов не касается -- там или забивают на вопрос в целом, или решают его исключительно текущими апстримными версиями (последнее само по себе бывает хорошо, только вот имеет свою цену и свои побочки в зависимости от повадок конкретного апстрима).

    У кого есть поддерживаемые ветки -- все так или иначе сталкиваются и так или иначе занимаются и поддержкой совместимости того, что в них.

     
  • 4.210, Аноним (210), 00:51, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем нужны бинарные дристрибутивы кроме чесания ЧСВ их разрабов К примеру, в... большой текст свёрнут, показать
     
     
  • 5.218, Аноньимъ (ok), 05:29, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В ФрииБСД свой отдельный ад.
    Например бинарные пакеты оказываются с отличными от портов опциями сборки.

    Таки вся эта клоунада спакетами нужна для системного софта.

    Прикладное ПО должно быть самодостаточным в рамках системы.
    Флетпак и АппИмаже поняли прикладное ПО верно.

    С вайном отдельная история, работает он через не известное проктологам место.
    Зачем-то требует предоставлять вин приложениям доступ к корню и вообще страшно костыльный.

     
     
  • 6.227, n00by (ok), 07:34, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я когда-то установил FreeBSD из сорцов, тупо нажимая пол часа continue в конфигураторах. Потом ставил приложения и так, и эдак. Через год прочёл, что оно работать не должно в теории. Решил, что наконец я готов для Линукс. Наткнулся рекламу на Rosa Tresh. Протухший DKMS, который не понимает актуальные сборочные сценарии и который никто не собирается обновлять; какие-то левые файлы возникают в корне после обновления системы (разработчики, само собой, не могли их заметить). Wi-Fi не работает в инсталляторе -- ну и что? это не критичный баг, подключат провод, можно релизить! Зато масса видосиков, насколько это здорово и лучше Венды с Убунтой, потому что когда-то было Мандривой.
     
     
  • 7.267, Аноньимъ (ok), 12:03, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, Фре нужно отдать должное, она практически разумна и без мусора. Практически нее делает того, о чём её не просят.

    Дистрибутивы линукса же в большинстве, это набор костылей делающих удобно. Даже самые минимальные сегодня идут с систеемой-Д. Положительная сторона в том, что оно само обладает разумными дефолтами для выполнения широкого круга задач. Отрицательная - добавочная сложность, в том числе в возникающих проблемах и их решении.

     
  • 6.249, Аноним (-), 12:56, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В ФрииБСД свой отдельный ад.
    > Например бинарные пакеты оказываются с отличными от портов опциями сборки.

    И в чем ад-то?
    Бинарные пакеты - это порты, собранные с определенным набором опций.
    Вместе с возможностью простого редактирования мейкфайла (ну или использования своего оверлея) и такой же простой возможности добавления своих патчей  - получается достаточно гибкий инструмент, вполне "дружащий" (на практике) с установкой пакетов из репы.

     
     
  • 7.266, Аноньимъ (ok), 11:57, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В том что опции по умолчанию в портах должны совпадать с опциями сборки бинарных пакетов.
    В противном случае появляется системная неоднородность.

    Никаких разумных причин для которой нет. Единственное объяснение которое приходит в голову - по*** мейнтейнеров и прочих участников проекта.

    Кроме всего прочего, большая часть прикладного ПО в FreeBSD банально не тестируется перед выкладыванием пакетов или добавлением изменений в порты.
    Частая ситуация - порт не собирается.
    Вторая частая ситуация - программа при запуске крашится, или крашится при попытке использования (открыть файл например).

     
     
  • 8.268, Аноним (-), 14:14, 29/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никуя не понял Дефолтные опции портов опции с которыми из них собирают паке... большой текст свёрнут, показать
     
     
  • 9.270, Аноньимъ (ok), 11:04, 30/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я так же как и вы юзаю фрю и описывают свой опыт Ваши щёконадувания выглядят жа... текст свёрнут, показать
     
     
  • 10.271, Аноним (-), 14:14, 30/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да-да-да, только вас таких опытных пользователей - как обычно, пол опеннета В... текст свёрнут, показать
     
     
  • 11.274, Аноньимъ (ok), 11:05, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вы бы хоть чем-то читали бы, уже был бы прогресс Ещё раз, опции сборки бинарных... текст свёрнут, показать
     
     
  • 12.275, Аноним (-), 12:27, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еще раз, опции сборки бинарных пакетов и есть дефолтные опции портов Прекратить... текст свёрнут, показать
     
  • 5.281, Michael Shigorin (ok), 16:10, 03/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот чтоб Вы своё могли почесать Если всё же почесать затылок, а не ЧСВ, то м... большой текст свёрнут, показать
     
  • 3.123, Аноним (100), 13:41, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А что если уязвимость исправлена в версии 2.99.1, а у тебя 1.01?

    надо было об этом думать десять лет назад.

    тот же кто оплатил появление в проекте версии 1.01, очевидно же.

     
  • 2.18, Аноним (11), 11:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причина - что умному достаточно один раз получить по лбу граблями от очередного улучшизма.

    Чтобы указать "поддерживаемые версии" - надо для начала потратить время на проверку, какие же версии работают - а потом еще и разгребать багрепорты от тех кто подсунул-таки "поддерживаемую", а она, ну надо же - что-то поломала.

    Очевидно, что нах никому не вперлось этим заниматься.

    Нет, "самым минимальным" не отделаешься. Тестировать надо весь апи, включая неиспользуемые части - сегодня не используешь, завтра что-то по мелочи изменил в коде - и уже используешь, даже сам этого не зная (потому что при другом параметре той же функции оно внутри библиотеки начинает использоваться).

     
     
  • 3.22, Аноним (12), 11:14, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Разработку нужно вести на самом актуальном окружении, тестировать мохнатые версии заявленные поддерживаемыми только по остаточному принципу. Собственно, многие так и делают. Другие действуют по принципу "нас и версия 50 летней давности устраивает, в что там нового мы не знаем". Что-то ломается конечно и внезапно, но такие низкокачественные зависимости вещь нечастая.
     
     
  • 4.29, Аноним (17), 11:20, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Когда актуальность окружения сведётся к месяцам, а доллар будет по 300 рублей - запоёшь
     
     
  • 5.36, Аноним (12), 11:32, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Когда актуальность окружения сведётся к месяцам, а доллар будет по 300 рублей
    > - запоёшь

    Можно пример где так часто ломают совместимость между версиями? Когда ты используешь новый функционал, ты понимаешь, в какой версии он появился (и что он может быть сыроват). Если ты пользуешься кодом, объявленным устаревшим 10 лет назад, ты тоже понимаешь, к чему это приведёт.

     
     
  • 6.39, ыы (?), 11:35, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1С например :)

    Причем оплачивать совместимость конфигурации с последней версией вы будете из собственного кармана.
    Или можно присылать счета вам?

     
     
  • 7.48, Аноним (12), 11:55, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Куда лучше на годы завязываться на неподдерживаемые версии? Мигрировать всё равно придётся, и чем быстрее, тем меньше проблем это вызовет.
     
     
  • 8.49, Аноним (93), 12:00, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот и обновляй железо каждый месяц Все равно придётся, че... текст свёрнут, показать
     
  • 8.51, ыы (?), 12:00, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот прямо сейчас и начнем Счете вам присылать ... текст свёрнут, показать
     
     
  • 9.54, Аноним (12), 12:06, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Т е я должен отвечать за опрометчиво принятые вами решения Нет, спасибо, это в... текст свёрнут, показать
     
     
  • 10.56, ыы (?), 12:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы поняли что сейчас написали Вы сейчас назвали опрометчивым решением свою сент... текст свёрнут, показать
     
     
  • 11.64, Аноним (12), 12:15, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Что, это я вас подписал взять агрессивно-монетизируемые проприетарные решения ... текст свёрнут, показать
     
     
  • 12.72, ыы (?), 12:27, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда вам пишут код на заказ- не имеет значения проприетарный код или нет Он ка... текст свёрнут, показать
     
     
  • 13.86, Аноним (12), 12:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это всё ещё последствия принятой модели А значит, бюджет на подобную миграцию з... текст свёрнут, показать
     
     
  • 14.90, ыы (?), 12:46, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть вы утверждаете что существует некий вариант кода, который будет совмест... текст свёрнут, показать
     
     
  • 15.99, Аноним (12), 12:59, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет, я утверждаю только то, что нагло доить клиентов это очень неприлично, и что... текст свёрнут, показать
     
  • 14.91, Аноним (93), 12:48, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Давайте смоделируем по предлагаемой вами модели код пишется для актуального на ... текст свёрнут, показать
     
     
  • 15.96, ыы (?), 12:53, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы меня не поняли Я только за , чтобы обновлять парк железа сразу же после выхо... текст свёрнут, показать
     
     
  • 16.97, ыы (?), 12:55, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А, я не тому ответил похоже Сорри ... текст свёрнут, показать
     
  • 16.98, Аноним (93), 12:56, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вас то я как раз-таки понимаю, в отличие от нашего собеседника, предлагающего по... текст свёрнут, показать
     
  • 6.129, Урри (ok), 13:47, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Rust, например.
     
  • 5.58, Michael Shigorin (ok), 12:09, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 6.62, ыы (?), 12:14, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
  • 6.108, Аноним (108), 13:10, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 7.130, Урри (ok), 13:49, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 8.252, свидетель яхве (?), 14:10, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.279, Michael Shigorin (ok), 15:53, 03/07/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.95, Аноним (93), 12:53, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Давайте смоделируем мир по предлагаемой вами модели.

    После очередного обновления windows поддерживает только актуальное железо, браузер поддерживает только актуальные версии дров, вебсайт только актуальную версию jquery, jquery только актуальную версию браузера. Остальное по остаточному принципу/желанию левой пятки.

    Сколько понадобится времени, чтобы всё рухнуло?

     
     
  • 5.103, Аноним (12), 13:03, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это может означать провал новой версии окна. Если ей никто не сможет пользоваться, она уйдёт в минус, тут всё просто. На некоторое время. Новое железо будет поставляться с новой версией окна, и потеряют опять же те, кто завязывался на неподдерживаемые проприетарные решения. Зато сэкономили (и тут).
     
     
  • 6.107, Аноним (93), 13:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот и я говорю: хорошую модель предлагаете. Простую, и, что самое главное, надежную.
     
     
  • 7.119, Аноним (12), 13:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот и я говорю: хорошую модель предлагаете. Простую, и, что самое главное,
    > надежную.

    Кстати по поводу железа. Посмотрите на игровые приставки например, или на телефоны, там ведь всё так и происходит: новая версия ПО для нового железа. Это маленькое развитие привычной модели продажи проприетарного ПО, в данном случае ещё и железо проприетарное. Скорее всего, не будь IBM PC, мы до сих пор жили бы в обществе, где за все обновления надо платить.

     
     
  • 8.122, Аноним (17), 13:36, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я пользуюсь свежими версиями приложений на смартфоне 18 года, и пишу это сообщен... текст свёрнут, показать
     
     
  • 9.128, Аноним (12), 13:47, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В том и дело, что по завязывается на новые версии железа только искусственно и п... текст свёрнут, показать
     
  • 6.113, ыы (?), 13:14, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А пользователи не провалятся, у которых доступ к Госуслугам или к Ютубу  только с новым браузером который только на новой ОС которая только на новом железе?
     
     
  • 7.118, Аноним (12), 13:26, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    К госуслугам закрывать доступ старых систем это правильно, может поменьше историй будет в духе "у меня украли 3 квартиры". Но не старых, а более старых чем официально принятый на общегосударственном уровне стандарт минимальной версии. Обновляться надо. И стандарт этот тоже обновлять надо -- дырявые версии прикрытые бумажкой это не выход. С ютубом же так и происходит, причём, всё больше 1 специальный браузер новой версии, или будут разнообразные проблемы.
     
  • 3.144, Котофалк (?), 15:24, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И он же готов регулярно получать по лбу граблями от древних багов Может, дело н... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (55)

  • 1.14, ИмяХ (?), 11:05, 27/06/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –6 +/
     
     
  • 2.19, Dzen Python (ok), 11:09, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 3.24, Аноним (17), 11:16, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.111, Dzen Python (ok), 13:12, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +6 +/
     
  • 4.131, Урри (ok), 13:53, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 5.205, msgod (ok), 00:06, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.215, Аноним (-), 02:02, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.26, Аноним (26), 11:17, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 4.112, Dzen Python (ok), 13:14, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 5.157, Аноним (26), 16:36, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.158, Аноним (155), 16:36, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.212, Aukamo (ok), 01:14, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.241, n00by (ok), 09:48, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.30, ыы (?), 11:22, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.114, Dzen Python (ok), 13:15, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.206, msgod (ok), 00:08, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.216, Аноним (-), 02:14, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.189, Аноним (189), 20:29, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.20, корпорация зла (?), 11:10, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
  • 2.28, Аноним (28), 11:19, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 3.33, iZEN (ok), 11:26, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 4.41, Аноним (38), 11:41, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 5.45, Аноним (45), 11:52, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.61, Аноним (38), 12:14, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.59, Michael Shigorin (ok), 12:11, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 3.66, ыы (?), 12:16, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 4.278, Michael Shigorin (ok), 15:51, 03/07/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.67, Аноним (38), 12:18, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
     
  • 3.145, Котофалк (?), 15:27, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.169, iLex (ok), 18:08, 27/06/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 3.219, Аноньимъ (ok), 05:42, 28/06/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (30)

  • 1.27, Ананоним (?), 11:17, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О какие плохие и неправильные пользователи библиотек! Ату их! О какие хорошие и правильные разработчики бублиотек! Хвала им!

    Реальность несколько иная - нет дыма без огня.

     
  • 1.31, Аноним (31), 11:22, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Причём тут динамическое связывание? Ну вот лежит у меня в папке с автокадом миллиард ДЛЛ файлов. Допустим некоторые это динамические библиотеки с уязвимостью. Они предлагают мне пойти скачать откуда-то свежие ДЛЛ и перезаписать их у себя? Или они предлагают разрабам вместо копирования их в папку с приложением класть их в system32 порождая dll hell?
     
     
  • 2.32, ыы (?), 11:24, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они предлагают отслеживать лицензию, и обновлчть вам автокад автоматически на каждый пук автора длл...
     
     
  • 3.146, Котофалк (?), 15:29, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Упаси аллах, пусть валяется кривое тухлое. Пользователь деньги уже занёс, к чему лишние хлопоты?
     
     
  • 4.150, ыы (?), 15:38, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть вы признаете что продали недоброкачественный продукт и знали об этом заранее...
    А ведь это сокрытие существенной информации при сделке...
     
     
  • 5.179, библия (?), 19:38, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    в еуле все это прописано, что покупаете гомнецо. так что никаких претензий.
     
  • 5.221, Котофалк (?), 06:16, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть вы признаете что продали недоброкачественный продукт и знали об этом заранее...

    Тебя ждёт unbundle libsarcasm и обновление зависимостей.

    > А ведь это сокрытие существенной информации при сделке...

    На языке маркетологов это может быть заботой о стабильности софта. Или что-то ещё. Да и покупателей это может вообще не парить.

     
  • 2.34, iZEN (ok), 11:27, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Причём тут динамическое связывание? Ну вот лежит у меня в папке с
    > автокадом миллиард ДЛЛ файлов. Допустим некоторые это динамические библиотеки с уязвимостью.
    > Они предлагают мне пойти скачать откуда-то свежие ДЛЛ и перезаписать их
    > у себя? Или они предлагают разрабам вместо копирования их в папку
    > с приложением класть их в system32 порождая dll hell?

    Они ничего не предлагают, а лишь констатируют печальный факт.


     

  • 1.35, Аноним (35), 11:29, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А вот в Huawei не 79%, они там для KPI могут  стилевые правки делать
     
  • 1.42, Zenitur (ok), 11:45, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Разве для борьбы со Spectre v2 не нужно пересобрать все бинарники?
     
     
  • 2.53, Аноним (38), 12:05, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не все же подряд программы работают с чувствительными к утечкам данными.
     
  • 2.177, Аноним (177), 19:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Photoshop сольет АНБ твои мемасы с обамой и российскими подьездами
     

  • 1.43, боня (?), 11:45, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Отговорки, что обновление библиотек не производится из-за возможного нарушения совместимости, в большинстве случаев беспочвенны

    Это про проекты на c++ где берут указатели на произвольные участки памяти и выполняют их?

    У нас наоборот, запрещено зависимости обновлять потому что проект на дотнете и 100% кода - безопасный код.

    Просто не пишите на дырявом решете

     
     
  • 2.47, Аноним (45), 11:54, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я пришлю Вам счёт за услуги проф.химчистки - весь монитор жиром залило.
     
     
  • 3.92, боня (?), 12:50, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я пришлю Вам счёт за услуги проф.химчистки - весь монитор жиром залило.

    спасибо. Жирнвато - да. Но автор статьи совсем не учёл специфику различных проектов и технологий разработки.

    Например, нашей библиотеке, которая взаимодействует с сериализацией сетевых сообщений более пяти лет. И только человек, который желает получить в печень может попытаться обновить её.

    С другой стороны, в том же джаваскрипте обновления - это вечная погоня за своими пятками. В условиях дикого запада люди обновляют обновляют обновляют обновляют... и зачем? Лучше и безопаснее не становится

     
  • 2.57, Аноним (38), 12:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот так вот прямо на произвольный? А если там окажется середина машинной команды? Машинные коды они далеко не всегда однобайтовые.
     
     
  • 3.106, n00by (ok), 13:07, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот так вот прямо на произвольный? А если там окажется середина машинной
    > команды?

    Будет обработана процессором как другая команда.

     
  • 2.139, Маняним (?), 14:27, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто не пишите на дырявом решете

    Вот поэтому ты и пишешь всю жизнь обёртки к софту на "на дырявом *ешете". Дай тебе "дырявое *ешето" и мы будем свидетелями удивительных вещей.

     
     
  • 3.160, боня (?), 16:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Дай тебе "дырявое *ешето" и мы будем свидетелями удивительных вещей.

    Спасибо, не надо. Выжигали это архитектурное недоразумение годами

     
  • 2.148, Котофалк (?), 15:31, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У нас наоборот, запрещено зависимости обновлять потому что проект на дотнете и 100% кода - безопасный код.

    (помечает в блокнотике)
    ...разработчики на дотнете напрочь оторваны от реальности, придумали 100% безопасный код.

     

  • 1.46, Аноним (46), 11:52, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Veracode - шарлатаны. Продают воздух за килобаксы
     
  • 1.52, Аноним (52), 12:05, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "простым" обновлением кода библиотеки
    но на C/C++ что-ли обновление простое?))
     
  • 1.69, CPP (??), 12:20, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Если после исправления бага нужно повторно проходить сертификацию продукта, то руководство предпочтёт подождать ещё лет пять.
     
  • 1.70, Аноним (70), 12:20, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Мистер Cargo к нам придёт и порядок наведёт, Мистер Cargo.
     
  • 1.71, ip1982 (ok), 12:26, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В психологическую ловушку попадаете вы. Новое не означает более лучше.
     
     
  • 2.75, ыы (?), 12:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так старые дыры позакрывали... как новые то подсовывать? Обновляться надоть...
     
  • 2.80, Аноним (93), 12:34, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    истину магистр говорите вы
     

  • 1.73, ip1982 (ok), 12:28, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я думаю отчасти виноваты авторы библиотек, которые срать хотели на  пользователей и мчатся впереди паровоза не думая ни о чём: ни о проектировании, ни об обратной совместимости, ни о переносимости.
     
     
  • 2.149, Котофалк (?), 15:38, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Авторы библиотек бывают разные. Некоторые всё ломают, некоторые - нет. Некоторые некоторое время тянут две версии - старую, до радикальной смены API и новую.

    И разработчики бывают разные. Некоторые забивают на развитие библиотек (которые кстати сами выбрали) и стонут по форумам "слоооожно", некоторые не забивают.

    Очевидно авторов библиотек, которые делают нехорошо, можно и нужно критиковать. Но ровно то же и про разработчиков. В головной новости даже не критикуют, просто указывают на проблему. И тут уже вой от любителей прибитых гвоздями версий библиотек.  

     

  • 1.77, x3who (?), 12:33, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну ладно уязвимости - это ещё фигня, их и пофиксить можно. Но ведь не секрет что многие разработчики до сих пор не проверяют проекты, из которых наследуют функционал, на инклузивность! А что если в разработке по поучаствовало ни одного содомита!? Я понимаю что такое теперь редко встречается, но опасность всё равно пока остаётся. Репозитории должны уделять больше внимания этому вопросу и помечать неинклузивные проекты предостерегающим значком.
     
     
  • 2.81, Аноним (93), 12:37, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тут еще вот ведь какая опасность: унаследовавшись от master автоматически получаешь white privilege
     
  • 2.85, ыы (?), 12:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот! Нашелся человек который поставил вопрос остро и по существу! Необходим общедоступный фреймворк от уважаемой компании, который мог бы проводить анализ автоматически и исключать из дерева зависимостей неблагонадежные коды.
    И кстати еще не закончена борьба с master, slave и подобным. Репозитории должны блокировать исходный код, инклюзивность которого сомнительна. А те разработчики которые присылают патчи повышающие KPI - должны изгоняться из сообщества, и патчи от них приниматься не должны.


    А еще встроенный на этом сайте спелчекер в редакторе не знает слова "инклюзивность". На опасную тропинку вступаете Максим... Ой опасную...

     
     
  • 3.102, Аноним (93), 13:03, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Необходим общедоступный фреймворк от уважаемой компании

    У которого тоже есть версии :(

     
     
  • 4.105, ыы (?), 13:07, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А мы не будем их менять :)
     
     
  • 5.110, Аноним (93), 13:11, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так вот как это делается!
     
  • 3.117, Dzen Python (ok), 13:25, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Фу Это прошлый век Проверять коды, помечать их Нужно сделать полицию инклю... большой текст свёрнут, показать
     
     
  • 4.125, боня (?), 13:42, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто говорите что вы инклюзивно угнетённый, еще больше чем все остальные. Проблем то?
     
     
  • 5.159, ыы (?), 16:39, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "
    - А ты Мариос - ты всегда на стороне девок, ты зло.бучий, подлый, х.есо.ущий верблюдов .бущий нацист-уголовник!
    - Во первых - я не принимаю сторону девушек, и во вторых- я совершенно точно не .бу верблюдов
    " (С) Освободите Джимми. Гоблин
     
  • 4.161, Аноним (155), 16:46, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так у них там русские к цветным приравнены уже, ибо тоже угнетались в этой их Америке не меньше прочих. Так что сиди спокойно, а лучше присоединяйся к описанной тобогй весёлой команде. Заодно недотрах вылечишь.
     

  • 1.82, макпыф (ok), 12:38, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а все навсего надо не заниматься этой дурью и просто динамически связываться с библиотекой, не встраивая её в проект
     
     
  • 2.83, Аноним (93), 12:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это как?
     
     
  • 3.89, макпыф (ok), 12:41, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > это как?

    не засовывать исхи библиотеки в свой проект, а просто использовать её системную версию

     
  • 2.87, ip1982 (ok), 12:40, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как правило, связываются динамически :)
     
  • 2.109, n00by (ok), 13:11, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Существуют header-only библиотеки.
     
     
  • 3.115, макпыф (ok), 13:16, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Существуют header-only библиотеки.

    и? хидеры тоже обычно системные при сборки используются.

    бывают конечно случае исключительные, где это обоснованно (видел проект где используются хидеры boost, но не сам boost, там это было обоснованно, чтоб буст в систему не ставить). Однако в основном включение библиотек в код не имеет смысла

    хуже всего когда даже опцию при сборе для использования системноой версии не делают

     
     
  • 4.127, n00by (ok), 13:44, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Существуют header-only библиотеки.
    > и? хидеры тоже обычно системные при сборки используются.

    Осталось понять, как это обеспечит "просто динамически связываться с библиотекой".

    > бывают конечно случае исключительные, где это обоснованно (видел проект где используются
    > хидеры boost, но не сам boost, там это было обоснованно, чтоб
    > буст в систему не ставить). Однако в основном включение библиотек в
    > код не имеет смысла

    Буст - это набор библиотек, часть из них header-only. Что-то из них даже принимают в стандартную.

    > хуже всего когда даже опцию при сборе для использования системноой версии не
    > делают

    Не спрашивали разработчиков, почему они так поступают?

     
     
  • 5.133, макпыф (ok), 13:55, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я имел ввиду использовать системные версии библиотек.

    буст в любом случае это один тарбол и собирать его придеться полностью

    и зачем писать 2 раза сообщение, есть кнопка "правка"

     
     
  • 6.137, n00by (ok), 14:19, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > я имел ввиду использовать системные версии библиотек.

    Вы смотрите на вопрос с точки зрения сборки Линукс, Вам так удобнее. У разработчиков свои критерии, и не всегда "удобнее" в приоритете.

    > буст в любом случае это один тарбол и собирать его придеться полностью

    Не в любом. Можно извлечь только требуемые библиотеки при помощи bcp https://www.boost.org/doc/libs/1_75_0/tools/bcp/doc/html/index.html
    Особенно header-only.

    > и зачем писать 2 раза сообщение, есть кнопка "правка"

    Спасибо, отправил жалобу на первое. Криво его отредактировал.

     
  • 2.134, макпыф (ok), 13:56, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    имел ввиду использовать системную версию библиотек
     
     
  • 3.151, Котофалк (?), 15:41, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты всё проспал. Разработчики прибитых гвоздями версий ненавидят системные библиотеки. Им нужна среда, в которой всё как они захотят.
     
  • 3.162, Аноним (26), 16:51, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И чтобы было меньше вопросов к системным либам пихают многие разработчики свое творчество в снапы, флатпаки, а то и в докеры и почему то случается, что и это не помогает. Кто же все-таки виноват и что делать?
     
  • 3.170, Ordu (ok), 18:20, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Подскажи мне, в какой версии какой системной библиотеки можно найти реализацию p... большой текст свёрнут, показать
     
     
  • 4.173, макпыф (ok), 19:04, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    системные библиотеки = установленные в систему то есть в /usr/lib или еще куда нибудь

    установить туда можно что угодно

     
     
  • 5.178, Ordu (ok), 19:34, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хаха Ты пробовал Не, ну ты вот сам подумай Вот, допустим, ты пишешь софтину, ... большой текст свёрнут, показать
     
     
  • 6.182, макпыф (ok), 19:50, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    configure проверяет либы через pkg-config. Всегда нормально работало это и никаких проблем подобных не было. потом линкеру идет -lsome-lib и он уже решает so.3.12 или so.3.13 и тд

    если же ты про бинарники (их распространяют только дистры и виндузятники) то
    1. их кстати принято распространять ввиде пакетов для дистрибутивов (а значет зависимости решаются дистрибутивным ПМ)
    2. просто сказать что требуются установить определенные библиотеки нельзя
    3. ld.so если что сам скажет что какаято либа не найдена


    Ну а если вы используете какието странные васяноподелки которых даже в репах дистров нету то в случае бинарников прилинкуйте статически. При нормальной установке пользователю не составит труда собрать также и эту зависимость

     
     
  • 7.185, Ordu (ok), 20:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дык они и делают именно это они включают статически, вместе с сорцами А насчёт... большой текст свёрнут, показать
     
     
  • 8.187, макпыф (ok), 20:18, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    обычно на эту тему есть документация В том случае проблема была совсем в другом... текст свёрнут, показать
     
     
  • 9.190, Ordu (ok), 20:30, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сейчас излагаешь точку зрения энд-юзверя Точку зрения зделайте так, чтобы м... текст свёрнут, показать
     
     
  • 10.244, макпыф (ok), 10:04, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    обычно linux разработчики вообще не распространяют бинарники в конечном итоге -... большой текст свёрнут, показать
     
     
  • 11.247, Ordu (ok), 11:26, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот чего ты мне пытаешься доказать Что программисты так не делают Но ведь в но... большой текст свёрнут, показать
     
     
  • 12.248, макпыф (ok), 11:44, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    то что значительная часть проектов отлично без этого обходится В таком случае к... текст свёрнут, показать
     
     
  • 13.250, Ordu (ok), 12:58, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, очень часто посредством выпиливания лобзиком велосипедов Или использования ... текст свёрнут, показать
     
     
  • 14.272, n00by (ok), 17:01, 30/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Идеальный хеш на этапе трансляции подразумевает, что определено конечное множе... текст свёрнут, показать
     
  • 4.174, Аноним (26), 19:23, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Надеюсь это не мне написано было, а то для меня тут темный лес.
     
     
  • 5.181, Аноним (26), 19:46, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ldd
     
  • 5.183, макпыф (ok), 19:53, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Надеюсь это не мне написано было, а то для меня тут темный
    > лес.

    разуметься тебе, ну кому же еще это может быть написанно. Ведь точно не тому на чье сообщение это ответ

     
     
  • 6.188, Аноним (26), 20:25, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В начале не понятно кому, потом было конкретно не мне, но я кажется понял о чем разговор идет и себе же ответил.)
     
  • 2.194, тоже Аноним (ok), 21:52, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  а все навсего надо не заниматься этой дурью и просто динамически связываться с библиотекой, не встраивая её в проект

    Есть у меня программка, собранная под Ubuntu 16.04. Использует системные библиотеки, в т.ч. libpng12.so.
    Знаешь, почему она перестала запускаться под Ubuntu 18.04? Да потому, что системная библиотека PNG исправила уязвимости, стала лучше и вообще обновилась. И стала по этому поводу называться libpng16.so.
    Всего-навсего.
    P.S. Причем, ЧСХ, этой программе были глубоко до пуговицы любые уязвимости в этой библиотеке, потому что НИ ОДНОГО внешнего PNG-файла в программе НИКОГДА не открывается.

     
     
  • 3.242, макпыф (ok), 09:51, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>  а все навсего надо не заниматься этой дурью и просто динамически связываться с библиотекой, не встраивая её в проект

    libpng.so.12 или .16 определяеться во время сборки

    и если программа не работает с PNG то зачем ей libpng?

     
     
  • 4.243, тоже Аноним (ok), 10:02, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > libpng.so.12 или .16 определяеться во время сборки

    Да, поэтому программу "достаточно" было пересобрать под 18.04. Или тупо создать симлинк на либу, потому что больше никаких проблем у этой программы под обновленной системой не было.

    > и если программа не работает с PNG то зачем ей libpng?

    Читаем медленно и внимательно: она не работает с PNG, приходящими со стороны. Так что сценарий "злоумышленник прислал специально сформированный файл, эксплуатирующий уязвимость в библиотеке" отсекается, а больше ничем уязвимости в этой библиотеке и не грозят.

     

     ....большая нить свёрнута, показать (30)

  • 1.132, commiethebeastie (ok), 13:55, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даже jquery даёт ссылку на релизы вместо роллинга.
     
  • 1.140, Аноним (140), 14:29, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Когда основные доработки библиотек сводятся к имитации бурной деятельности и постоянному ломанию обратной совместипости, потому что "надо выпустить новую версию", встроить и никогда больше не трогать единственная альтернатива варианту написать самому только то, что тебе требуется. А в плане временных затрат, в которых разработчики урезаны до невозможно, потому что пипл требует вчера и со всистелками и на халяву, то и единственная.
    Что просили, то и получили. Чё ныть то теперь?
     
  • 1.142, Маняним (?), 14:46, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Непонятно о каком софте речь. Для серьёзного софта существуют регрессион тесты. Заменил либвер1.0 на либвер1.1, прогнал регтесты. Прошли тесты заменяешь на новую версию, нет - досвидос. Либо разбираешься где сломалось, если изменения нужные, либо забиваешь. При этом добавить новую  зависимость в такой софт, как кстати и новый регрессион тест - это такой квест, что предпринимается только действительно в обоснованных случаях.

    Ну а если они имеют ввиду говнософт от васи пупкина, то там конечно всё так как они описали.

     
     
  • 2.152, Котофалк (?), 15:50, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть два варианта развития серьёзного софта Первый - как ты описал Второй - ка... большой текст свёрнут, показать
     
     
  • 3.191, Аноним (189), 20:38, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты сравнил. Европейцы за деньги пишут.
     
     
  • 4.220, Котофалк (?), 06:12, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну ты сравнил. Европейцы за деньги пишут.

    вот это вообще не оправдание в данном случае. напротив - чем больше бюджет на российский софт "для себя", тем меньше шансов его увидеть в опенсорсе. исключений - единицы. Ну типа яндекс с кликхаусом.

     
  • 2.154, НяшМяш (ok), 16:09, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Только вот в жизни наличие или отсутствие регрессионных тестов никак не зависит от серьёзности софта. Может быть ынтырпрайз продукт, который тестируется только вручную обезьянками за еду, а может быть утилита от васи пупкина, который для себя эти тесты написал.
     
  • 2.163, ыы (?), 16:52, 27/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >нет - досвидос

    Первый раз досвидос...
    Второй раз досвидос...(хотя могли бы понять что будет как в первый)
    А третий раз даже тест запускать ненадо- сразу сообразили ясно что досвидос гарантирован...

    А делать то что? Непонятно как это вообще меняет проблему или показывает ее под другим угол? Вы вообще о чем сейчас?

     

  • 1.143, Михрютка (ok), 14:53, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >>>без предоставления сведений - устранения уязвимости приходилось ждать 7 и более месяцев.

    естебственно.

    - У нас дыра в безопасности!
    - Ну слава богу, хоть что-то у нас в безопасности...

     
  • 1.167, acroobat (??), 17:56, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это всё из-за пиратсва. Школьники-то на каникулах.
     
  • 1.175, Аноним (177), 19:23, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Британские ученые видимо пилили эту статью(((
    А ниче что у тех самых пресловутых библиотек нет стабильного API и ни одна нормальная программа не будет рисковать динамически подрубать непротестированную либу?
     
  • 1.176, Аноним (177), 19:27, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Для большей наглядности можно привести Qt и его лицензию LGPL для коммерсов, которую те обходят десятой дорогой и покупают лицензию Qt, потому что софтоделам не нужен гемморой с угадыванием, та ли версия Qt что нужно стоит у пользователя и есть ли Qt у юзера вообще
    Блджад!
     
  • 1.184, Аноним (184), 20:04, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>в 69% случаев уязвимости были устранены в корректирующих выпусках

    Т е в 31% случаев программа бы сломалась из-за потери совместимости? Много этих разработчиков либ поддерживают отдельные ветки в плане безопасности?

     
  • 1.193, And (??), 21:15, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сначала обновляют, а потом ломают, отбирают функционал, не тестируют. Не. Обновления - зло, зло и зло.
     
  • 1.197, anonymous (??), 22:24, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > так как в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.

    Ага. Только уязвимость внесли года три назад и пару мажорных версий. И толку от корректирующих вупысков для новых версий, когда ты всё равно их использовать не можешь.

    А если кто и поддерживает старые версии - то только за деньги.

     
  • 1.203, Аноним (177), 23:56, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    69% процентов багфиков не ломают API))) почти половина))) подгружать такое чудо это как монетку подбрасывать повезет не повезет
     
     
  • 2.226, www2 (??), 07:22, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для двух библиотек вероятность не сломанного API = 0.69 ^ 2 = 0.48

    Для трёх - 0.33, 4 - 0.23, 5 - 0.16, 6 - 0.11, 7 - 0.07, 8 - 0.05, 9 - 0.04, 10 - 0.02...

     
     
  • 3.234, Ыы (?), 09:00, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    К чему это казино? Давай считай, какая вероятность сломанного хотя бы одного из двух и более.
     
     
  • 4.237, ыы (?), 09:33, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятность появления хотя бы одного из событий (А1, А2,…,Аn), независимых в совокупности, равна разности между единицей и произведением вероятностей противоположных событий.

    для 2: 1- 0.69*0.69 = 1 - 0.48   = 0.52
    для 3: 1- 0.69*0.69*0.69 = 1 - 0.33   = 0.67
    для 4: 1- 0.69*0.69*0.69*0.69 = 1 - 0.23   = 0.77
    и так далее...

     

  • 1.217, Gogi (??), 03:12, 28/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чушь всё полная! Бизопасность, бизопазность.... как курица тупая бегает!
    Не надо нам внушать мысль, будто мы перманентно должны быть онлайн и мониторить свежие либы.
    Есть "релиз" либы - это более-менее проверенное состояние, в котором можно держать либу достаточно долго. Если всё обновлять как параноики, есть риск сломать систему или даже ВНЕСТИ ошибки безопасности.
    Не надо впадать в паникёрство и бесконечную "боязнь дыр", просто РАБОТАЙТЕ! Пока вы делаете свою работу, разрабы либы делают свою. Так и движется прогресс.
     
  • 1.223, Аноним (223), 06:57, 28/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У нас на работе не только нужно ждать разрешения от  юриста и исследования безопастности на внедрение любой версии библиотеки, даже если это просто апдейт. Но они ещё и репозиторий переодически сканят на предмет «заимствования» кода, что постоянно дает фалспазетив. Хотя все равно где-то кто-то умыкнёт куски кода, которые не заметили во время рецензированиях. Связи с чем у нас интернет блочат на работе… чтобы всякие плебы переставали копировать строчки кода  с гитхаб или стаковерфлов
     
     
  • 2.230, Аноним (201), 08:33, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Работодателя назовёте?
     
     
  • 3.233, ыы (?), 08:40, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обычный нормальный работодатель. Те у кого не так- просто еще не осознали...
     
  • 3.253, Аноним (223), 14:49, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Honeywell
     
  • 2.239, Аноним (239), 09:38, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Твоя фирма производит велосипеды?
     
     
  • 3.254, Аноним (223), 14:51, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это в точку… Много велосипедов… плоть до 2017 или 18го был свой компилятор…
     
  • 2.240, Аноним (239), 09:45, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы пишите уникальные строчки кода которые не могут никогда нигде и никак походить на другие. И алгоритмы придумываете новые уникальные нигде не повторяемые.
    А вы там выкалываете глаза и в лагерях содержите людей чтобы дизайн не своровали?
    Менеджерам руки отрубают за воровство идей бизнеса.
     
     
  • 3.255, Аноним (223), 15:01, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, раз в пару месяцев заводят одну и туже пластинку про «заимствование» кода из других источников, на что отвечаем  это сложившиеся общепринятая практика или общий алгоритм… для обработки сигналов используется куча всяких функций которые построены на преобразование фурье… там уже мало что уникального напишешь… но начальству с образованием юриста или инженера из другой области это не очень в голове укладывается
     

  • 1.238, Аноним (239), 09:36, 28/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо C++ проверить на совместимость со старыми библиотеками и удалить все новые не совместимые со старыми
     
  • 1.245, InuYasha (??), 10:32, 28/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Линкуй статически" - говорили они.
    "Поставляй флатпаки" - говорили они.
    И я их не слушал.
    И где их советы сейчас? )
     
     
  • 2.251, n00by (ok), 13:02, 28/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    $ ./AoW3Launcher
    ./AoW3Launcher: error while loading shared libraries: libssl.so.1.0.0: cannot open shared object file: No such file or directory

    Зато через Proton -- работает!

     

  • 1.256, Аноним (256), 16:49, 28/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну так это изветная виндузятская болезнь. Ну теперь ещё и всех этих флатошлаков.
     
  • 1.269, adolfus (ok), 01:08, 30/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Компания Veracode опубликовала результаты исследования проблем с
    > безопасностью, вызванных встраиванием открытых библиотек в приложения
    > (вместо динамического связывания многие компании просто копируют в
    > состав своих проектов нужные библиотеки).

    Что они имеют ввиду? Cтатическое связывание или использование библиотек в виде исходного кода? А ведь эти два способа позволяют сократить размер загружаемого кода, а второй -- обаспечиитть глобальную оптимизацию и вынос инвариантов из циклов.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру