The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек

27.11.2013 10:52

Компания White Source опубликовала результаты исследования проблем с безопасностью, вызванных использованием open source разработок в коммерческих программных проектах. В итоге сделан вывод, что наиболее распространённой причиной проблем с открытым кодом в коммерческих программных проектах является поставка в составе таких проектов устаревших версий открытых библиотек. Разработчики коммерческих систем, постоянно не отслеживающие все обновления для задействованных открытых компонентов, подвергают своих пользователей большому риску получить не выявленные вовремя проблемы, связанные с безопасностью.

В частности, устаревшие библиотеки поставлялись в 85% из почти трёх тысяч изученных в процессе исследования коммерческих проектов, содержащих открытые компоненты. 23% из рассмотренных коммерческих проектов содержали неисправленные уязвимости. Между тем, лишь 1.3% из уязвимых открытых библиотек были обновлены до последней версии (для остальных 98.7%, проблем можно было избежать, обеспечив поставку последних выпусков библиотек). 93% уязвимостей в поставляемых в составе коммерческих продуктов открытых библиотек имели средний или высокий уровень опасности. В качестве наиболее часто встречающихся источников проблем, связанных с наличием необновлённых библиотек, отмечаются уязвимости в Spring Framework, Apache POI, Spring-Security, Apache Xerces2 и Apache Commons FileUpload.

  1. Главная ссылка к новости (http://www.prweb.com/releases/...)
  2. OpenNews: Исследование показало, что 84% приложений содержат потенциальные проблемы с безопасностью
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38533-security
Ключевые слова: security, libruary
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (99) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, koblin (ok), 11:29, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    так это проблемы не с открытым кодом, а с закрытым

    PS У тебя не закрытый, а открытый перелом! (с)

     
     
  • 2.29, pavlinux (ok), 15:22, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –14 +/
    Кстати, ты не в курсе, почему с вероятностью 99% на Windows 8 будет работать Norton Commander или Norton Utilites for Windows 3.11?

     
     
  • 3.33, преподаватель информатики (?), 15:54, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не гони. Порой писанное для XP не пашет в свисте.
     
     
  • 4.43, Отсутствуют данные в поле Name (?), 17:17, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Порой. Но вероятность намного меньше.  
     
     
  • 5.54, Аноним (-), 18:56, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Щаз. Миранда не заработала. Far возымел массу проблем. А 64-битных программ вообще 3 штуки на всю планету.
     
  • 3.53, Аноним (-), 18:49, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Во-первых, не заработают. Во-вторых, когда не заработает открытая утилита, её можно будет просто пересобрать. Если не заработает закрытая, ничего уже не сделать. Что смешно, ибо бабки-то уже уплочены.
     
     
  • 4.67, pavlinux (ok), 20:14, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А ты попробуй.
     
     
  • 5.74, Аноним (-), 21:16, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Попробовать что? NC и NU не работают (а если бы и заработали, удачи их запустить на Itanium и ARM каоторые Windows якобы поддерживает), а опенсорсные утилиты выпущенные когда NC и NU не было даже в планах я использую каждый день.
     
  • 5.78, анониммммм (?), 21:33, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Че, там статикой собрано? Ну, дык.
     
  • 3.65, Coder (?), 19:41, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Напомнило анекдот про неуловимого Джо
     
  • 3.68, name (??), 20:15, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    на 64 битной семерке, не работают досовские программы
    в бухгалтерию привезли новые компы, а софт не пашет...
     
     
  • 4.73, SwordMaster (?), 21:08, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А DOSBox применять не судьба?
     
  • 4.75, Ytch (ok), 21:18, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > на 64 битной семерке, не работают досовские программы

    зато работает DosBox, в котором бывает работают досовские программы ))

     
  • 3.69, Аноним (-), 20:35, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я недавно пытался установить в Windows 8 программу, которая отлично работала в Windows 7. Установилась, но работать не захотела.
     
  • 3.77, Michael Shigorin (ok), 21:30, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > с вероятностью 99% на Windows 8 будет работать

    А, так вот почему там тачпад на lenovo не заработал -- он входит вот в тот 1%...

     
     
  • 4.85, Аноним (-), 01:10, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >lenovo

    Мне достался рабочий ноут производства Lenovo, вот какому муд* пришло в голову сделать инверт клавиш F1-F12 и функциональных клавиш ноутбука, типа настройки яркости, звука, и т.д. Я регулярно пользовался клавишами F1-F12, а некоторыми из них особенно часто, а теперь приходится вместо этого каждый раз второй рукой зажимать Fn перед использованием.

     
     
  • 5.89, Michael Shigorin (ok), 02:24, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне достался рабочий ноут производства Lenovo, вот какому муд* пришло в голову
    > сделать инверт клавиш F1-F12 и функциональных клавиш ноутбука

    Китайскому, какому.  Покопайтесь в настройках фирмвари.

     
  • 5.103, name (??), 12:55, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>lenovo
    > Мне достался рабочий ноут производства Lenovo, вот какому муд* пришло в голову
    > сделать инверт клавиш F1-F12 и функциональных клавиш ноутбука, типа настройки яркости,
    > звука, и т.д. Я регулярно пользовался клавишами F1-F12, а некоторыми из
    > них особенно часто, а теперь приходится вместо этого каждый раз второй
    > рукой зажимать Fn перед использованием.

    О ДАААА, к моноблокам леново в комплекте идут клавы с такими кнопками, внешнюю клаву хоть поменять можно.

     
  • 3.80, Anonim (??), 21:42, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кстати, ты не в курсе, почему с вероятностью 99% на Windows 8
    > будет работать Norton Commander или Norton Utilites for Windows 3.11?

    Угу. То-то я несколько недель парился и пытался заставить работать принтер в win7, который великолепно работал в xp, просто потому, что разработчик дров на сайте разместил одни и те же дрова для vista и win7, причем под вистой они пахали, а под семеркой слали лесом. К слову в Лине почему-то все работало без проблем под любым дистрибутивом (ибо cups).

     
  • 3.82, MAN (??), 22:06, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Обратная совместимость, в чем проблема??
     
  • 3.83, nagual (ok), 23:48, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кстати, ты не в курсе, почему с вероятностью 99% на Windows 8
    > будет работать Norton Commander или Norton Utilites for Windows 3.11?

    Far Power Pack под 64 не взлетел ...

     
  • 3.92, Аноним (-), 09:24, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Пытались на ноутбуке жены с win7 pro 64bit запустить нужные ей программы, работавшие в XP. Программы похоже писались на Borland C++ 3.1 для Windows.

    В общем, они заработали только в режиме XPMode, то есть в виртуалке, благо для pro-версии windows можно поставить лицензионно-чистую winXP.

     

  • 1.2, jOKer (ok), 11:34, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >уязвимости в Spring Framework, Apache POI, Spring-Security, Apache Xerces2 и Apache Commons FileUpload

    Иными словами, - на яве.

     
     
  • 2.8, Аноним (-), 12:09, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Иными словами, джависты меньше других брезгуют открытым кодом.
     
     
  • 3.47, rshadow (ok), 18:13, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дык идеология обязывает юзать кучу сторонних библиотек. И это хорошо.
     
  • 2.17, Аноним (-), 14:08, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Такое ощущение, что у джавистов считается нормальным скопипастить кусок кода и забыть про него.
     
     
  • 3.36, el torito (?), 16:07, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ощущение ошибочно.
     
  • 2.37, el torito (?), 16:13, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Иными словами, - на яве.

    И, что характерно, собственно Java тут вообще ни при чём. Просто в практике разработки Java приложений имеет место jar hell вполне похожий на dll hell в Windows.

     
     
  • 3.84, Dmitry77 (ok), 01:00, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И ещё в Java есть инструменты способные победить  jar hell (maven/ivy, osgi)
    Вообще если проект на maven/ivy то апгрейд библиотеки в 90% случаев - это просто изменение одного номера в сборочном файле.
     
  • 2.55, umbr (ok), 18:56, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не на Яве, а там где надо писать много, быстро и дешево.
     
     
  • 3.56, jOKer (ok), 19:03, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >надо писать много, быстро и дешево.
    >много

    не на яве

    >быстро

    не, точно не на яве

    >дешево

    а вот это совсем не на яве, потому что "ява" и "дешево" - это оксюморон

     

  • 1.3, Аноним (-), 11:47, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    Причём тут вообще Open Source? Если бы в исследуемых коммерческих проектах использовались проприетарные сторонние библиотеки, то выяснилось бы, что их обновляли точно так же редко. Правильнее было бы сделать вывод, что «Разработчики систем, постоянно не отслеживающие все обновления для _любых сторонних компонентов_, подвергают своих пользователей большому риску.»
     
     
  • 2.7, Stellarwind (?), 12:07, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том, что для открытых библиотек открыта информация по багам, в т.ч. поправленным, соответственно можно целенаправлено искать закрытый софт, который использует старые библиотеки и воспользоваться готовыми уязвимостями.
     
     
  • 3.10, Аноним (-), 12:29, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Проблемы индейцев...
     
  • 3.23, Аноним (-), 14:40, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Т.е проблема в закрытом софте.
     
  • 2.48, rshadow (ok), 18:16, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Правильнее сделать вывод что использование репозиториев и пакетных менеджеров есть правильный путь. А качать инсталляторы блобов с сайтов - унылое гоов...
     

  • 1.4, Sylvia (ok), 11:52, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    ну а что еще требовать от систем с отсутствием центрального обновления и политикой приложений "все свое ношу с собой"?
     
     
  • 2.5, ip1981 (ok), 11:57, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    О, братья по разуму!
     
  • 2.6, Аноним (-), 12:06, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ну а что еще требовать от систем с отсутствием центрального обновления и
    > политикой приложений "все свое ношу с собой"?

    +1

    И не понятно что мешает разработчикам закрытого ПО формировать свои пакеты используя окружения дистрибутива. Хотя самым простым ответом может быть, "Мы же не можем выпускать закрытое ПО без предварительного теста всех компонентов" На мой взгляд нет смысла тянуть со своей программой библиотеки которые доступны в дистрибутиве

     
     
  • 3.9, Аноним (-), 12:15, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Там средняя публика такая, что чем объяснить им, что такое дистрибутив, репозиторий и т.п., дешевле новых разработчиков нарожать.
     
     
  • 4.14, linux must __RIP__ (?), 13:22, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Там средняя публика такая, что чем объяснить им, что такое дистрибутив, репозиторий
    > и т.п., дешевле новых разработчиков нарожать.

    угу. особенно радует поддерживать 100500 разных хаков в коде ради того что в разных дистрибутивах разные версии одной и той же либы.

     
     
  • 5.18, Аноним (-), 14:09, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно, если оно допатченное для совместимости со всяким г.
     
  • 5.27, Аноним (-), 15:18, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > угу. особенно радует поддерживать 100500 разных хаков в коде ради того что
    > в разных дистрибутивах разные версии одной и той же либы.

    Ну если решил что твое ПО, работает с собственными версиями библиотек, вполне разумно обновлять свой огород своевременно. К тому же речь идет коммерческом ПО а значит должен быть стимул делать все продуманно. Но как видно профит не всех стимулирует, из принципа зачем что то менять если оно и так работает

     
  • 3.13, linux must __RIP__ (?), 13:16, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты не разу не сталкивался что обновление библиотеки в дистрибутиве ломает логику приложения?
    и что делать если 100500 дистрибутивов и в каждом зоопарк версий одной и той же библиотеки?
     
     
  • 4.15, SomeUser (?), 13:46, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А говорит ли это в пользу этого приложения или разработчика ?
     
  • 4.24, NoName (?), 14:49, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У криворуких программистов ломает логику любое действие вообще с  компьютером.
     
     
  • 5.38, BratSinot (ok), 16:36, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Изменение ABI или API не такое уж и редкое явление.
    Тот-же libpng 1.4 и 1.5.
     
     
  • 6.50, Аноним (-), 18:33, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Изменение ABI или API не такое уж и редкое явление в мире СПО.

    // fixed

    > Тот-же libpng 1.4 и 1.5.

    // Warcraft III, скомпилированный для Win 95 - запускается и работает и на XP и на 7.


     
  • 6.81, Michael Shigorin (ok), 21:43, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Изменение ABI или API не такое уж и редкое явление.
    > Тот-же libpng 1.4 и 1.5.

    Разумные разработчики если не участвуют в апстриме, то присматривают за ним.  Если есть явное желание избежать изменений подобного плана -- скидываемся ресурсами и организовываем более длительную поддержку предыдущих веток без ломания ABI/API (если дырка не была связана с недостатками именно в них).

    А халявщики от проприетарщины пролетают вместе со своими клиентами (хотя клиенты, как правило, пролетают крепче).

     
  • 3.42, bOOster (?), 17:14, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Мешают? Минимальные исправления в коде открытой библиотеки, которые иногда весьма проблематично портировать в новую опенсоур либ.
     

  • 1.11, Аноним (-), 12:33, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Это, как правило, политика закрытого софта. Им наплевать на пользователей. Главное чтоб купили, а потом за новые деньги править уже давно исправленные баги. Вкладывая деньги в коммерческий софт фраер ушастый платит дважды, а то и трижды.
     
     
     
    Часть нити удалена модератором

  • 3.44, тоже Аноним (ok), 17:38, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если вы используете СПО, купленное у разработчика, вы ничуть не хуже защищены от проблем, чем в случае проприетарного ПО. Обычно лучше, потому что в СПО не принято городить несовместимые с повсеместно применяемыми решениями костыли.
    Если вы используете ПО бесплатно - неважно, проприетарное или открытое - ваши проблемы вам нужно решать самостоятельно. Никакой разницы.
     
  • 2.91, Тот_Самый_Анонимус (?), 06:37, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Это, как правило, политика закрытого софта.

    Нет такого правила. Есть добросовестные разработчики, а есть халтурщики. И в разработке СПо и в разработке ППО. Остальное - ваши фантазии.

     
     
  • 3.99, Michael Shigorin (ok), 01:52, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет такого правила.

    Де-факто есть.

    > Есть добросовестные разработчики, а есть халтурщики.

    Да.

    > И в разработке СПО и в разработке ППо.

    Да.

    > Остальное - ваши фантазии.

    Нет.  Вы мало видали или не умеете делать выводы.  То, что этот исходник подлежит публикации -- разительным образом влияет даже на вполне совестливого разработчика, у которого просто вечный недостаток времени.  Этот недостаток, как правило, он начинает иначе рассматривать и распределять.

     
  • 3.101, Led (ok), 11:24, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>Это, как правило, политика закрытого софта.
    > Нет такого правила.

    Если в твоей методичке не упоминается, это не значит что его нет.

     

  • 1.12, FSA (??), 13:13, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Особо радуют инструкции по установке только определённой версии Java для какого-то суперпродукта и отключению автоматического обновления.
     
  • 1.16, iZEN (ok), 13:58, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Потому что мало кто внедряет непрерывную интеграцию (Continuous Integration, CI) в своих продуктах. Большинство работает по-старинке, используя "водопадную" модель процесса разработки. Продукты на Java для управления жизненным циклом разработки в основном используют Ant, а не Maven/Gradle. В такой обстановке обновления зависимостей трудоёмки и по сути никому особо не нужны — работает и ладно.

    У сишников CI вообще как "закат солнца вручную": достал код из системы контроля версий, достал новый код зависимостей оттуда же (но из других мест), собрал, вроде работает — опубликовал. Называется: пока не пнёшь ногой, ничего не делается само. Jenkins не для них.

     
     
  • 2.40, el torito (?), 16:39, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да ну А у меня наоборот - мавен везде Собственно, мавен и есть средство, значи... большой текст свёрнут, показать
     
     
  • 3.95, iZEN (ok), 20:01, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ога, только как CI поможет в ситуации, когда старая зависимость более не поддерживается, а новая её версия изрядно ломает API? Постоянно переписывать под bleeding edge?

    Если новая версия изрядно ломает API, то выбор всё равно никуда не девается, не так ли? ;)

     
  • 2.49, rshadow (ok), 18:18, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно пишешь. Только дженкинс  уг.
     
  • 2.58, anonymous (??), 19:10, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и при чём здесь Jenkins? Jenkins для сборки C'шных проектов прикручивается на ура. Только CI без модульного тестирования само по себе мало что гарантирует.
     

  • 1.19, Аноним (-), 14:16, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помнится, убеждал разрабов одной Вин-софтины проапдейтить идущую в комплекте openssl.dll Кончилось тем, что мы плюнули, и стали подсовывать новую версию рук^W скриптом. В коммерческих сборках, что под Вин, что под Линь, такое овно мамонта попадается порой...
     
  • 1.20, Kodir (ok), 14:27, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Спасибо, смешно! То есть одни говнокодеры клепают дыры на своём любименьком си/сипипи, а коммерческие разрабы виноваты, что не бегают каждую минуту на их сайт "не обновился ли пакет расчёта синуса?".
    Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!
    И потом, коммерческий мир занят созданием профита, а не играет в русскую рулетку "обновись и угадай что отвалилось". Однажды скомпиленный пакет не трогается и с ним интегрируются остальные системы.
    В идеале, неплохо бы поддерживать новые версии, но сам же мир ФОСС не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в libpng. Так что риск допустим только у админов локалхоста, все остальные используют стабильные, хоть и старые версии.
     
     
  • 2.21, iZEN (ok), 14:36, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Спасибо, смешно! То есть одни говнокодеры клепают дыры на своём любименьком си/сипипи,
    > а коммерческие разрабы виноваты, что не бегают каждую минуту на их
    > сайт "не обновился ли пакет расчёта синуса?".

    Вообще-то, CI подразумевает покрытие кода тестами и автоматическое тестирование с отчётами о проблемах. В продакшен без тестов и их 100% прохождения код никто не выкладывает, ибо чревато "обновись и угадай что отвалилось".

    > Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!

    Вот люди и молятся (никто не мешает же!). А объективное качество кода основано на измерении (процедурах тестирования), а не субъективном ощущении, что всё хорошо и нормально.

    > И потом, коммерческий мир занят созданием профита, а не играет в русскую
    > рулетку "обновись и угадай что отвалилось". Однажды скомпиленный пакет не трогается
    > и с ним интегрируются остальные системы.
    > В идеале, неплохо бы поддерживать новые версии, но сам же мир ФОСС
    > не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в
    > libpng. Так что риск допустим только у админов локалхоста, все остальные
    > используют стабильные, хоть и старые версии.

    Использовать старьё — заранее обрекать себя на прозябание в счастливом неведении о выявленных и исправленных уязвимостях. Так как ошибки в ПО есть всегда, их надо исправлять чем быстрее, тем лучше. И от этого никуда не деться: либо ты исправишь, либо тебя со временем хакнут. Для этого и придумали CI.

     
     
  • 3.57, umbr (ok), 19:05, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    CI и 100% покрытие тестами не мешает писать глючный софт.
     
  • 3.93, Kodir (ok), 18:40, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    CI предохраняет только от явных проблем с тырфейсом. А если поломалось внутри? Предлагаете писать тесты к сторонним либам?

    > Использовать старьё — заранее обрекать себя на прозябание

    Сравниваешь риски и решаешь. :) Мне вот хватило гемороя с хвалёными DevExpress - больше такое мутирующее отстоище в жизни никогда не буду юзать - что ни версия, то обломы и изменения. Быть на гребне этой позорной либы - это непродуктивно просирать дорогое девелоперское время. Т.е. проще взять изначальную версию и затачивать всё под неё. Единичный, зато реальный живой пример.

     
     
  • 4.96, iZEN (ok), 20:06, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > CI предохраняет только от явных проблем с тырфейсом. А если поломалось внутри?
    > Предлагаете писать тесты к сторонним либам?

    Сторонние либы лично я если и буду тестировать, то с очень большой неохотой, когда обнаружатся косяки именно в них (при этом найденными решениями и патчами к сторонним либам, как истинный проприетарщик, вряд ли поделюсь :)) ). CI придуман для систематизации личной ответственности производителей софта, а не сторонней.

    >> Использовать старьё — заранее обрекать себя на прозябание
    > Сравниваешь риски и решаешь. :) Мне вот хватило гемороя с хвалёными DevExpress
    > - больше такое мутирующее отстоище в жизни никогда не буду юзать
    > - что ни версия, то обломы и изменения. Быть на гребне
    > этой позорной либы - это непродуктивно просирать дорогое девелоперское время. Т.е.
    > проще взять изначальную версию и затачивать всё под неё. Единичный, зато
    > реальный живой пример.

    Хочется быть сторонним тестером чужой софтины — ваш выбор. ;)


     
     
  • 5.98, Michael Shigorin (ok), 00:49, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хочется быть сторонним тестером чужой софтины — ваш выбор. ;)

    Тсс, а то User294 носом в PS4 тыкать будет (и ведь поделом).

     
  • 2.22, andy (??), 14:36, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!

    Не берите, никто не навязывает. То что коммерция что-то там берет, еще
    не показатель качества.

     
     
  • 3.45, тоже Аноним (ok), 17:43, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Коммерция берет эти пакеты, чтобы сэкономить на разработке, и им это успешно удается.
    Если они хотят еще и сэкономить на поддержке, без проблем - заключается договор с автором библиотеки, и он будет обеспечивать вам отсутствие проблем при обновлении.

    А гремлинов, которые питаются пылью из радиатора и при этом делают, чтобы все работало само - их не существует. Ни в СПО, ни в коммерции.

     
  • 2.26, pavel_simple (ok), 15:11, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > сайт "не обновился ли пакет расчёта синуса?".
    > Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти
    > пакеты в дело!
    > И потом, коммерческий мир занят созданием профита, а не играет в русскую
    > рулетку "обновись и угадай что отвалилось". Однажды скомпиленный пакет не трогается
    > и с ним интегрируются остальные системы.
    > В идеале, неплохо бы поддерживать новые версии, но сам же мир ФОСС
    > не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в
    > libpng. Так что риск допустим только у админов локалхоста, все остальные
    > используют стабильные, хоть и старые версии.

    а ты смишной -- мне понравилось -- продолжай.

     
  • 2.32, myhand (ok), 15:50, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть одни говнокодеры клепают дыры на своём любименьком си/сипипи, а коммерческие разрабы виноваты, что не бегают каждую минуту на их сайт "не обновился ли пакет расчёта синуса?".

    И не говори!  Вообще, клиенты должны просто тебе деньги давать, потому что ты такой хороший.  А исправлять ошибки - вообще не барское дело, главное коншепт в powerpoint наваять и впарить "программный продукт" (тм) очередному лоху.

    > Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!

    Штука в том, что среди чистой "коммерции" - количество разработчиков катастрофически стремится к 0.

    > мир ФОСС не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в libpng

    Вообще-то, любая свободная лицензия включает фразы типа: THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES...  Как, впрочем и большинство пропиерастных EULA.  Только юридически - вам никто не должен.

    А технически - ничего, конечно, не развалится.  Есть такая вещь как обратная совместимость.

     
     
  • 3.41, el torito (?), 16:44, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/

    > Штука в том, что среди чистой "коммерции" - количество разработчиков катастрофически стремится
    > к 0.

    Чушь. Штука в том, что сопровождать проект так, как вам тут хотелось бы - намного дороже выручки с его продаж. А что касается FOSS - попробуйте оценить стоимость этих наработок по коммерческим ставкам - удивитесь.

     
     
  • 4.72, myhand (ok), 21:05, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Штука в том, что среди чистой "коммерции" - количество разработчиков катастрофически стремится
    >> к 0.
    > Чушь.

    Мне велели—я ответил«Есть!»

    > Штука в том, что сопровождать проект так, как вам тут хотелось
    > бы - намного дороже выручки с его продаж.

    Я разве написал выше что-то другое?  К черту поддержку - ведь всегда можно завернуть г*** в новый красивый фантик!

    Вот только будущее - накажет.  Не у всех мощей хватит позже переквалифицироваться в патентные тролли из таких "разработчиков"...

    > А что касается FOSS - попробуйте оценить стоимость этих наработок по
    > коммерческим ставкам - удивитесь.

    Чему, простите?  Хорошую и нужную работу - хорошо оплачивают.  Немалая доля
    FOSS буквально и оплачена по этим самым коммерческим ставкам.

     
  • 3.63, linux must __RIP__ (?), 19:31, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/

    > А технически - ничего, конечно, не развалится.  Есть такая вещь как
    > обратная совместимость.

    мужик - ты точно уверен что у всех либ есть ABI versions в библиотектах ?
    вот только что открыл libgio-2.0.so - нету.. поддерживается только последная версия - что значит при обновлении получишь полный облом..

     
     
  • 4.70, myhand (ok), 20:49, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ты точно уверен что у всех либ есть ABI versions в библиотектах ?

    Всякие разные буратины есть, конечно.  Но в мало-мальски значимых проектах их меньше.

    > вот только что открыл libgio-2.0.so - нету..

    Чего там нету?  Замечательно все есть - открывалкой сперва научись пользоваться.

    > поддерживается только последная версия

    Это которая?  2.33.12, которая установлена у меня?  ЧЯДНТ, почему у меня замечательно работают программы, расчитанные на более раннюю glib 2.x?

     
  • 3.94, Kodir (ok), 18:44, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я не нашёл практически ни одного нормального возражения - только параллельные измышлизмы.
    Я объяснил, почему имеет смысл (иногда) затачиваться только под конкретную версию. По этому конкретно пункту возражения есть?
     
     
  • 4.97, myhand (ok), 22:34, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я не нашёл практически ни одного нормального возражения

    А что возражать на вопль обиженного разумом?  Вас ткнули носом в то, что без FOSS - в "коммерции" просто не останется софта, нечего будет в красивую бумашку заворачивать.

    И факт остается фактом, помимо этого FOSS разработчики еще и исправляют проблемы, а "коммерция" - плюет на поддержку.  С "программными продуктами", использующими открытые либы - данная ситуация лишь становится прозрачной.

     

  • 1.25, shipiloff69 (?), 15:08, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек

    Что называется уметь подать новость и перевернуть с ног на голову

     
  • 1.28, Аноним (-), 15:20, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так заказчиков-то закрытого коммерческого софта в первую очередь интересуют же новые фичечки, а не какая-то там секьюрити
    тем более если речь идёт о продуктах для внутреннего использования, где шанс что кто-то начнет что-то хакать не так и велик
    ну и смысл безопасность вылизывать, если исходя из потенциальных рисков это нецелесообразно
     
     
  • 2.34, pavlinux (ok), 15:56, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > так заказчиков-то закрытого коммерческого софта в первую очередь интересуют ...

    Прибыль.

     
     
  • 3.39, Аноним (39), 16:39, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно не факт.
     
     
     
    Часть нити удалена модератором

  • 5.76, Celcion (ok), 21:21, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Надо же, хоть один дельный комментарий. И даже не заминусованный. Я действительно на опеннет попал? :-)
     
     
  • 6.86, pavlinux (ok), 01:58, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Я действительно на опеннет попал? :-)

    Да, мы исправляемся.


     
  • 6.88, Michael Shigorin (ok), 02:24, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо же, хоть один дельный комментарий. И даже не заминусованный.

    Да, просто удалённый на основании п. 4 http://wiki.opennet.ru/ForumHelp

    > Я действительно на опеннет попал? :-)

    Разумеется.

    PS: если бы у автора того комментария хватило воспитания излагать без гонору, мог бы быть и дельным.  Но некоторым и полутора копейками крышу сносит, пальцЫ в косяк упираются...

     
     
  • 7.90, Celcion (ok), 03:16, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > PS: если бы у автора того комментария хватило воспитания излагать без гонору,
    > мог бы быть и дельным.  Но некоторым и полутора копейками
    > крышу сносит, пальцЫ в косяк упираются...

    Вероятно. Но ведь это действительно очевидно: компании, работающие на коммерческой основе - основной целью имеют зарабатывание денег. А зарабатывание денег не в последнюю очередь связано с тем, чтобы их меньше тратить. Отсюда не менее очевидно, что если есть выбор между постоянным обновлением библиотек, требующим модификацию остального кода (читай: затраты), что не привносит какого-либо нового функционала (читай: отсутствие прибыли), и использованием старых, с которыми таких изменений не требуется - понятно в какую сторону будет сделан выбор.
    Цель "заработать денег" - достигнута. Расходы - минимизированы. Ведь даже издревле "для себя" и "на продажу" многие люди делали вещи с довольно таки различным подходом, причем - по тем же самым причинам.
    Почему так и правильно ли это - предмет отдельного разговора. Но тем не менее - это факт.

     
     
  • 8.100, Michael Shigorin (ok), 01:56, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В первую очередь это сомнительное занятие связано с доходностью, а не с минимиза... текст свёрнут, показать
     
     
  • 9.104, Celcion (ok), 19:50, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А вы где-то видели крупные _честные_ высокодоходные компании - А вы, покупая ... текст свёрнут, показать
     
     
  • 10.105, Michael Shigorin (ok), 23:54, 29/11/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А я и не отрицаю факты -- именно что пытаюсь дать им оценку И практически учиты... текст свёрнут, показать
     
  • 9.106, myhand (ok), 17:16, 01/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Да, в капиталистическом обществе - это так, де-факто Это только оболганные обыв... текст свёрнут, показать
     
     
  • 10.107, Michael Shigorin (ok), 18:00, 01/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Даже мои потуги порой оказываются довольно болезненно ощутимыми на уровне трансн... текст свёрнут, показать
     
     
  • 11.108, myhand (ok), 20:43, 01/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Сомневаюсь Ситуацию достаточно хорошо характеризует пример данной новости От... текст свёрнут, показать
     
     
  • 12.109, Michael Shigorin (ok), 02:03, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тем не менее российские школы -- единственные в мире, которым терминальный серве... текст свёрнут, показать
     
     
  • 13.110, myhand (ok), 12:15, 02/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Мне пока связи не видно Корре Наймем побольше пеарщиков и юристов Не сработа... текст свёрнут, показать
     

  • 1.30, Аноним (-), 15:23, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    ага, перефразируем:
    Основные проблемы в коммерческих проектах вызваны использованием устаревших библиотек. А библиотеки там отрытые или нет дело второстепенное.
     
     
  • 2.46, тоже Аноним (ok), 17:48, 27/11/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Можно еще обобщить: основные проблемы в коммерческих проектах вызваны экономией на поддержке. А библиотеки там устарели или технологии - дело второстепенное.

    Проблема в том, что новые фишки продаются хорошо, а возврат технических долгов - нет. Поэтому долги копят, "пока не рванет". И даже после этого обычно не реанимируют продукт, а пишут новую версию ("обновитесь со скидкой!!!") и отказываются от поддержки старых.
    Маркетология...

     

  • 1.71, all_glory_to_the_hypnotoad (ok), 20:52, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В итоге сделан вывод, что наиболее распространённой причиной проблем с открытым кодом в коммерческих программных проектах является поставка в составе таких проектов устаревших версий открытых библиотек.

    В закрытых проектах код свежий ровно настолько, насколько хватает оплаченных ЧЧ. Если их нет даже на  тестирование новых версий уже готовых библиотек, то тем более не будет для поддержания своего оригинального крапа в нормальном состоянии. В общем, вывод писали какие-то удаки.

     
  • 1.79, Сталин (?), 21:41, 27/11/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ICU (International Components for Unicode) Адская юникод библиотека как исходники Windows

    Интересно сколько она жрет памяти

     
     
  • 2.87, pavlinux (ok), 01:59, 28/11/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Интересно сколько она жрет памяти

    Очевидно же - 2^16 или даже 2^32.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру