The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

75% коммерческих приложений включают устаревший открытый код с уязвимостями

13.05.2020 21:39

Компания Synopsys проанализировала 1253 коммерческих кодовых баз и пришла к выводу, что почти все (99%) рассмотренные коммерческие приложения включают как минимум один компонент с открытым исходным кодом, а 70% кода в рассмотренных репозиториях является открытым. Для сравнения в аналогичном исследовании 2015 года доля открытого кода составляла 36%.

При этом в большинстве случаев использованный сторонний открытый код не обновляется и содержит потенциальные проблемы с безопасностью - в 91% из рассмотренных кодовых баз имеются открытые компоненты, которые не обновлялись более 5 лет или как минимум два года находятся в заброшенной форме и не сопровождаются разработчиками. Как следствие, в 75% выявленного в репозиториях открытого кода присутствуют неисправленные известные уязвимости, из которых половина имеет высокий уровень опасности. При выборке за 2018 год доля кода с уязвимостями составляла 60%.

Наиболее часто встречающейся опасной уязвимостью стала проблема CVE-2018-16487 (удалённое выполнение кода) в библиотеке lodash для Node.js, уязвимые версии с которой встретились более 500 раз. Наиболее старой неисправленной уязвимостью стала проблема в демоне lpd (CVE-1999-0061), исправленная в 1999 году.

Кроме безопасности в кодовых базах коммерческих проектов также наблюдается халатное отношение к соблюдению условий свободных лицензий. В 73% кодовых баз найдены проблемы с легальностью использования открытого кода, например, несовместимости лицензий (как правило, GPL-код включается в состав коммерческих продуктов без открытия производного продукта) или использование кода без указания лицензии. 93% всех проблем с лицензиями проявляются в сетевых и мобильных приложениях. В играх, системах виртуальной реальности, мультимедийных и развлекательных программах нарушения замечены в 59% случаев.

Всего в ходе исследования выделено 124 типовых открытых компонента, которые обычно используются во всех кодовых базах. Наиболее популярные из них: jQuery (55%), Bootstrap (40%), Font Awesome (31%), Lodash (30%) и jQuery UI (29%). В разрезе языков программирования наиболее популярными являются JavaScript (используется в 74% проектов), C++ (57%), Shell (54%), C (50%), Python (46%), Java (40%), TypeScript (36%), C# (36%); Perl (30%) и Ruby (25%). Общая доля языков программирования составляет: JavaScript (51%), C++ (10%), Java (7%), Python (7%), Ruby (5%), Go (4%), C (4%), PHP (4%), TypeScript (4%), C# (3%), Perl (2%) и Shell (1%).

  1. Главная ссылка к новости (https://www.theregister.co.uk/...)
  2. OpenNews: Анализ использования фрагментов уязвимых библиотек в исполняемом коде
  3. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  4. OpenNews: Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек
  5. OpenNews: Инструментарий для выявления скрытых уязвимостей, возникающих из-за использования стороннего кода
  6. OpenNews: Обратная сторона систем распространения приложений в обход дистрибутивов
Лицензия: CC-BY
Тип: Обобщение
Короткая ссылка: https://opennet.ru/52945-opensource
Ключевые слова: opensource, license, lib
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (83) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:14, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +29 +/
    Вот тебе и дурное "работает - не тронь", а потом используются годами протухшие либы с древними эксплойтами.
     
     
  • 2.48, Аноним (48), 09:01, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –9 +/
    В реальном мире всё сложнее. Если в проекте найдется бодрый юноша, который будет всё обновлять без разбору, проблем не оберёшься. Иногда лучше потерпеть потенциальные уязвимости (кому ты нужен!) лишний годик, чем получать по голове от начальства и в режиме аврала ломать мозг над решением кучи свалившихся на тебя багов.
     
     
  • 3.50, ryoken (ok), 09:36, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >> потерпеть потенциальные уязвимости (кому ты нужен!)

    Ботам инетовским всё равно. А кому-то именно ТЫ и нужен!

     
  • 3.58, Michael Shigorin (ok), 10:35, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Думаю, это вопрос ответственности -- за что именно, особенно не тобою сделанное, берёшься отвечать.
     
     
  • 4.77, Аноним (77), 15:30, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://a.radikal.ru/a42/2005/0f/fe65d7a0f5a5.png
     
  • 3.88, Имя (?), 11:12, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >кому ты нужен!

    Это справедливо разве что на локалхосте, на предприятии 1) ты отвечаешь за организацию 2) у компании есть что украсть и них всяко больше денег чем у тебя

     
  • 2.49, Твой Отец (?), 09:07, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –9 +/
    А вы ссударь ратуете за содом и гоморру тысячи "цветов"? Эффективные манагеры (читай гуманитарии) жарят прогрессивную культуру написания софта, что бы по средствам новомодных обновлений заманить нас всех во все эти новомодные левацкие фреймворки которыми они управляют. Я вам простую вещь скажу, прогресс бывает плохой ,и хороший, всё зависит от того кто "девушку танцует". Проблема только в том, что леваки девушкой считают НАС!!!
    По этому я за опенсорс, всегда можно вычислить людей которые писали код, и с какой целью.
     
  • 2.52, mumu (ok), 09:42, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще в цивилизованных странах считается нормальным при закупке приложений спрашивать каких стандартов при разработке кода они придерживались. И не писать там соответствия хотя бы самого простого ISO 27k это уже моветон и хорошая заявка на просер тендера.
     
     
  • 3.57, Michael Shigorin (ok), 10:34, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Synopsis располагается в стране нецивилизованной -- написано же: Mountain View, CA.  Воспользовались бы привилегией жевать уже, что ли...
     
     
  • 4.74, mumu (ok), 14:19, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Synopsis вполне себе придерживается практик безопасной разработки по ISO и NIST. И они оказывают услуги по аудиту на соответствие стандартам безопасной разработки и архитектуры для тех, у кого нет своих собственных DevSecOps-ов. Что сказать-то хотели?
     
     
  • 5.82, Michael Shigorin (ok), 00:09, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что хотел -- то сказал.  Свидетелям "цивилизации" гопников -- не понять.
     
  • 2.56, Michael Shigorin (ok), 10:25, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Дурное -- это применять бездумно.  Например, админский подход в разработке.
     
     
  • 3.86, www2 (??), 09:24, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разверните мысль, пожалуйста. Что за "админский подход"?
     
     
  • 4.89, Аноним (89), 14:35, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    написано же "работает — не трогай"
    намек, что не надо чинить (менять настройки) то, что не сломано
     

  • 1.2, Аноним (2), 22:21, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Наверное, чукча не читатель, но как они проанализировали код закрытых проектов?
     
     
  • 2.7, GG (ok), 22:35, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    За деньги.
    Им за это платят и довольно хорошо платят.
     
  • 2.11, Аноним (11), 22:40, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Synopsys развивает платные сервисы для проверки и тестирования кода, данные из которых и использованы в статистике.
     
  • 2.34, Аноним (34), 06:20, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Копирайты в бинарниках остаются?
     
     
  • 3.87, КО (?), 09:50, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие бинарники в Node.js?
     
  • 2.80, yara (?), 20:10, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Бинарники можно сканировать. Если есть бюджет - компилируем все релизные версии условных Х тыс. самых популярных открытих либ разными компиляторами, находим в них уникальные последовательности байтов, пишем Yara правила (Yara rules), и сканируем бинарники.
     

  • 1.4, user90 (?), 22:26, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А уж в том, что хомячье впендюривает на свои ведроиды!!! О, это просто жЫр! Нет уж, я с обычным кнопочным, уже 5 лет ;)
     
     
  • 2.6, Аноним (2), 22:29, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    До этого ходил с дисковым?
     
     
  • 3.8, user90 (?), 22:35, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    С древним ведроидом. Чо ж ты хочешь, моментально прозреть дано не каждому.
     
  • 3.10, Dzen Python (ok), 22:40, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Радиорелейкой "Алтай"
     
     
  • 4.22, Аноним (22), 01:51, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так она, скорее всего, без всяких прошивок вообще была. Правда, и разговоры не шифровала.
     
  • 4.44, YetAnotherOnanym (ok), 08:19, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *пустил скупую слезу*
     
  • 3.18, Ordu (ok), 00:43, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.cnet.com/news/a-mobile-phone-with-a-rotary-dial-retro-cool-or-retr

    http://www.justine-haupt.com/rotarycellphone/index.html

     
     
  • 4.39, Аноним (34), 07:01, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем так далеко? Есть ссылка на наш любимый сайт https://www.opennet.ru/opennews/art.shtml?num=52396
     

  • 1.9, Аноним (9), 22:38, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не может быть. И да, очень часто они слинкованы статически. Или там старая версия апи, устаревшая 20 лет назад и подмена файла на новый ни к чему хорошему не приведёт (даже при доступе к коду). Обновлять? Пфф, да кому это надо. За это пользователи платить не будут, им подавай новый сплашскрин. Вот это открытия в 2020 году.
     
     
  • 2.20, анонимуслинус (?), 01:22, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    в том то и дело , что старый код работает хорошо в связке с другим таким же старым кодом для которого он писался, а если решил собрать пингвина с ужом , то потрудись выполнить проверку на совместимость)) часто вообще проблемы вырисовываются не в самих программах, а на их стыке, когда они открывают лазейки именно при работе друг с другом.
     

  • 1.12, Аноним (12), 22:52, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    "..Поэтому нужно срочно удалить атавсюду УСТАРЕВШИЙ код!!!111"

      С Уважением,
      Юный Смузихлёб.

     
     
  • 2.30, qetuo (?), 03:32, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дорогой неСмузихлёб, в софте постоянно находят и латают дыры. Ничто не пишется идеальным с первого раза. Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости. Если вам нравится пользоваться дуршлагом, пользуйтесь на здоровье, но не обвиняйте других в смузихлебстве.
     
     
  • 3.31, bergentroll (ok), 05:48, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как будто смузи — это что-то плохое.
     
     
  • 4.40, коржик (?), 07:06, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    старый код выкидывать сложно. Иногда просто для того, чтобы обновить библиотеку до свежего состояния нужно потратить человеконеделю.

    И то не факт что заработает. Иногда просто не знаешь к чему такое обновление приведёт. Вот и сидим на двух стульях

     
     
  • 5.59, Michael Shigorin (ok), 10:39, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется; и это хороший повод подружиться с апстримом и обеспечивать своими ресурсами в кооперации с ним поддержку LTS-веток: win-win.
     
  • 3.92, Аноним (92), 23:03, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости.

    Почему cмyзиxлёбы считают новейший код априори идеальным и безопасным?

    Пофиксишь пару неведомых теоретических уязвимостей в старом коде, который работал дохрена времени без проблем, добавишь 2 десятка новых, более модных-молодёжных. Только пока еще не обнаруженных.

     

  • 1.13, анончик (?), 22:55, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    всего-то 75%? я недавно в последней версии одного очень популярного у фотографов приложения нашёл ruby 2.2. написал в поддержку, а они такие "это вам повезло, что мы 1.8 недавно выкинули"
     
     
  • 2.23, Аноним (23), 01:51, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С Руби была история как с Питоном 2/3, т.е. для 1.8 существовала огромная экосистема, а когда в 1.9+ запилили VM еще несколько лет пакеты обновлялись.
    Нет ничего удивительного, что никто не хотел браться и разгребать клубок зависимостей.
     
     
  • 3.25, Crazy Alex (ok), 02:28, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что "модные молодёжные" вообще в каком-то своём мире живут. То ли дело скучные плюсы, заботящиеся о совместимости
     
     
  • 4.51, Аноним (51), 09:41, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В плюсах заботиться об обратной совместимости жизненно важно, чтобы была хоть какая-то переиспользуемость бинарников, а не бесконечная многочасовая пересборка всей проги с 0, а-ля Gentoo. Из-за манглинга, разнящегося от компилятора к компилятору и кучи соглашений о вызове, а также национальных особенностей экспорта символов, что в Линуксе(SO), что в Винде(DLL), сломать ABI в плюсах ну очень просто. А если нужно сделать либу, которую можно юзать и из C, и из C++, то лучше вообще куда-нибудь в дистрибутив класть ридми о том, чем собирались либы.
     
  • 3.29, анончик (?), 03:20, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я в курсе про переход с 1.8 на 1.9. и то, что 1.9.1 и 1.9.2 были тоже не совместимы.

    но только это всё уже было почти 10 лет назад, а мы как раз говорим про "устаревший открытый код"

     

  • 1.14, Аноним (14), 23:09, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Я так понимаю, что речь идёт о коммерческих приложениях предоставляемых клиенту ... большой текст свёрнут, показать
     
     
  • 2.60, Michael Shigorin (ok), 10:40, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тто-тто ffmpeg в каждом первом месте, где нужен...
     

  • 1.17, Аноним (17), 00:03, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Где Rust?, Вы что? (совсем уже:) ).
     
     
  • 2.24, Аноним (22), 01:52, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да всё там же ;)
     

  • 1.26, deeaitch (ok), 02:42, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Чего и следует ожидать от коммерческого ПО. Кроме как ... на палочке ничего не полчишь. Разве что кошелёк полегчает.
     
  • 1.27, Страдивариус (?), 02:46, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Закономерное следствие "сейчас мы заинсталлимся в /opt с полным перечнем собственных версий share object'ов"
     
     
  • 2.32, Карабьян (?), 06:01, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если перечень есть, то еще не так уж плохо, чаше бещ него, ибо зачем это пользователю?
     

  • 1.28, Алконим (?), 03:11, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    При анализе внутренних софтварь используемых исключительно во внутренних сетях были получены данные что они старые и давно не обновляются потому что работают стабильно и ресурсы на на разработку уже потрачены. Новость  не о чем.
     
  • 1.33, КО (?), 06:02, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, это было предсказуемо...
     
  • 1.35, Аноним (35), 06:29, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот именно поэтому во всех приличных местах чтобы подключить опенсорсную библиотеку к проекту надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела, и, в некоторых случаях проводить патентное исследование.

    Потому что опенсорс дыряв и с ним связываться почти всегда себе дороже - за что в приличных местах за него дают по лицу.

     
     
  • 2.37, Тот_Самый_Анонимус (?), 06:34, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела

    Это для якобы свободного гпл так надо. С апачем, бсд, илипубличным достоянием проблем нет.

    >в некоторых случаях проводить патентное исследование

    Ну это в совсем нецивилизованной сшашке только надо.

     
     
  • 3.38, Аноним (35), 06:40, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Ну это в совсем нецивилизованной сшашке только надо

    Неа. Пишу из японской корпорации. Например, нам недавно по причинам патентов юр отдел запретил использовать opencv, полгода уже пилим с нуля свой велосипед.

     
     
  • 4.46, YetAnotherOnanym (ok), 08:26, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И как это поможет в ситуации, когда оптимальный метод найден до вас и запатентован? Причём, скорее всего, с формулировкой, допускающей максимально широкое толкование?
     
  • 4.62, Michael Shigorin (ok), 10:43, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> патентное исследование
    >> Ну это в совсем нецивилизованной сшашке только надо
    > Неа. Пишу из японской корпорации.

    Ну это совсем то же.  В плане конкретно патентов на математику ;-)

    Свободу Окинаве!

     
     
  • 5.71, Аноним (51), 13:48, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот честно, патенты на алгоритмы - это дичь и шиза, максимум это может быть коммерческой тайной, которую ты должен защищать своими силами (обфускация, например). Если кому-то хватило мозгов разреверсить - сам виноват, плохо спрятал. Техно-лобби в Америке совсем зажравшееся еще со времен Эдисона. В идеале, исследования, и матвыкладки всегда должны публиковаться как публичное достояние, а вот реализация - да хоть 33 проприетарных лицензии на нее накати, дело твое. У кого руки прямые и формулы читать и понимать умеет, тот код сам напишет, главное не будь мудаком и поделись математикой.
     
  • 2.61, Аноним (89), 10:41, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    эм. Разрешения и положительные заключения нужны, чтобы подключить и не обновлять?
     
  • 2.70, Gefest (?), 13:45, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >получать разрешения и положительные заключения от техлидов

    Вот поэтому , берут опенсорсную библиотеку, выдирают копирайты, рефакторят переименовава пару классов и ctrl-c ctrl-v

     
  • 2.79, Аноним (79), 19:21, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    100% согласен. OS это зло. Хотели как лучше получилось как всегда. Вместо обмена знаниями и идеями, это теперь социально-политический клуб.
     

  • 1.36, Тот_Самый_Анонимус (?), 06:32, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.ru/openforum/vsluhforumID3/120621.html#18

    >А в старых версиях coreboot байты прокисают?

    Пусть теперь думает.

     
     
  • 2.63, Michael Shigorin (ok), 10:44, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Рантайм фирмвари напомните?
     
  • 2.68, Аноним84701 (ok), 11:28, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.ru/openforum/vsluhforumID3/120621.html#18
    >>А в старых версиях coreboot байты прокисают?

    Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем:  коммерческого закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).

    К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому намного честнее заявить "мы не поддерживаем - ведь тот самый аноним не хочет присылать патчи или донатить", чем иметь список поддержки "для галочки".

    > Пусть теперь думает.

    Пусть аноним тоже попробует - авось понравится 🙄

     
     
  • 3.84, Карабьян (?), 07:50, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем:  коммерческого
    > закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не
    > затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).
    > К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых
    > -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому
    > намного честнее заявить "мы не поддерживаем - ведь тот самый аноним
    > не хочет присылать патчи или донатить", чем иметь список поддержки "для
    > галочки".
    >> Пусть теперь думает.
    > Пусть аноним тоже попробует - авось понравится 🙄

    Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. Патч тоже палка еще та: если он работает локально, зачем им делиться? Чтобы исправлять ошибки на чужих конфигурациях? И если работает сейчас, то  может не будет работать в будущем - а это кто-то еще кроме присылающего сможет починить? И опять массовость нужна: тогда исправление выгодно вносить, в одиночку - нет

     
     
  • 4.90, Аноним84701 (ok), 16:43, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.

    Да я не спорю.  Хотя если действительно нужно, то можно "кинуть клич", поискать единомышленников.
    Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами) за свои хотелки,  то наверное не стоит и ныть "вооот, взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?

     
     
  • 5.91, Карабьян (?), 16:53, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.
    > Да я не спорю.  Хотя если действительно нужно, то можно "кинуть
    > клич", поискать единомышленников.
    > Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами)
    > за свои хотелки,  то наверное не стоит и ныть "вооот,
    > взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?

    Если было и как-то работало, то понятно возмущение, впрочем, право на форк тоже никто не отменял; да, действительно, не виду повода для спора


     
  • 2.72, Аноним (72), 13:51, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > >А в старых версиях coreboot байты прокисают?
    > Пусть теперь думает.

    А там закрытый код, что-ли? Ну очень ты дорожишь своей железкой, возьми, да сам портируй патч безопасности и собери. Или за деньги закажи патч. Это же отрытый продукт. Зачем бесплатно заниматься теми железками, которые почти никто не использует?

     

  • 1.41, А.Н.Оним (?), 07:15, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Не ну, ребят. Я конечно понимаю что статистика очень интересная и в выводах наверняка всё тоже показательно... Вот только что это за выборка такая? 1253 приложения. Думается мне что на все эти миллиарды людей коммерческих приложений должно быть на несколько порядков больше. А если так -- статистика ни о чём.

    Плюс наверняка Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили.

    Так что цифры хоть и страшные, но абсолютно бесполезные.

    "Много кто юзает опенсорс библиотеки" -- то же мне новость.
    "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.

     
     
  • 2.45, Аноним (45), 08:24, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот только что это за выборка такая?
    > Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили

    Ага, настоящие бизнесмены не сомневаются в своем идеальном коде, и в эту неправильную статистику не попадают. А то уж они бы показали немытому опенсорсу, как надо код писать!

    > "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.

    А если и не забрасываются, зачем обновлять? Код закрытый, никто не видит, пипл хавает.

     
     
  • 3.75, Аноним (75), 14:25, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А то уж они бы показали немытому опенсорсу, как надо код писать!

    Вспомнил 10 лет не закрытый dirty cow, через который опенсорсный кocтылинупc не имел только ленивый, пожал плечами.

     

  • 1.42, Аноним (-), 07:48, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    4. "Программа имеющая проприетарную лицензию некачествена!". Это будет пятым "Определением свободного программного обеспечения".

    4 предыдущих, (от 0 до 3-х) проповедовал нам сам Великий Столлман.

    Воистину, воистину!

     
     
  • 2.64, Michael Shigorin (ok), 10:47, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы вот приржать пытались, а качество обслуживаемости у закрытого софта и впрямь принципиально иное -- столкнётесь, поймёте.  Когда исходники _есть_ -- даже если ни разу не собирался туда лезть, это страховка на случай, когда полезть всё-таки придётся: самому ли, найдя ли специалиста.  Очень доходчиво, между прочим.
     
     
  • 3.69, Аноним (69), 11:34, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да, специалист, обычно того же уровня квалификации, посмотрит на исходники которые _есть_ и скажет: говно, выкинуть, переписать всё заново.
    Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. Правда, сомневаюсь.
     
     
  • 4.83, Michael Shigorin (ok), 00:12, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, специалист, обычно того же уровня квалификации, посмотрит
    > на исходники которые _есть_ и скажет: говно, выкинуть, переписать
    > всё заново.

    Это скорее национальная специфика, не стоит совсем уж обобщать.

    > Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
    > Правда, сомневаюсь.

    Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
    В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда его наличие -- последний довод.

     
     
  • 5.85, Карабьян (?), 07:55, 15/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну да, специалист, обычно того же уровня квалификации, посмотрит
    >> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
    >> всё заново.
    > Это скорее национальная специфика, не стоит совсем уж обобщать.

    То есть нация плохая? Программисты-нежоучки? А где профессионалы?
    >> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
    >> Правда, сомневаюсь.
    > Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
    > В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда
    > его наличие -- последний довод.

    Кто-нибудь сталкивался? Как успехи? И как после таких вмещательств полет нормальный, обновления бинарные там?

     

  • 1.43, Аноним (43), 08:07, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    75%не умеют финансов для опенсорца. Сжнчь.
     
  • 1.47, Аноним (-), 08:38, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему _это_ в разделе "Новости"?
    Разве это новость? Нет.
     
     
  • 2.65, Michael Shigorin (ok), 10:47, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По сути -- нет, по конкретике -- очередная.
     

  • 1.53, Аноним (53), 09:44, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Наиболее часто встречающейся опасной уязвимостью стала проблема CVE-2018-16487 (удалённое выполнение кода) в библиотеке lodash для Node.js

    Я на гитхаб загрузил обычный HTML-шаблон с минимум JS вместе с GULP сборкой, то мне тоже гитхаб сыпал предупреждения, что, мол, есть уязвимость в lodash. Я так и не понял чем это чревато для обычного темплейта и фиксить не стал. Вероятно, я тоже попал в эту статистику. Интересно, как много подобных случаев попали в эту статистику?

     
     
  • 2.54, Аноним (53), 09:45, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Имеется ввиду когда уязвимость есть, но что-то выжать из неё "полезного" нельзя (или можно только я этого не знаю?)
     
  • 2.66, Michael Shigorin (ok), 10:49, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вероятно, я тоже попал в эту статистику.

    Если Вы не платили Synopsis в бессознательном состоянии -- точно нет.
    По крайней мере напрямую. :)

     

  • 1.55, ПрограммистУдалённыхВебТерминалов (?), 10:18, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это они как GitHub просканировали package.json увидели старый lodash и давай поднимать тревогу? А что если я не использую уязвимые функции? Или не в браузере как описано в CVE? Или наоборот в браузере.

    Проблема со старыми багами и уязвимостями реальна, но цифры высосаны из пальца.

     
     
  • 2.67, Аноним (67), 11:09, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всё ПО нынче выглядит, как тарелка со спагетти, и уязвимость в одной функции запросто может выстрелить в другой только за счёт используемого общего кода, например.
     
     
  • 3.73, Аноним (51), 14:12, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эм, оно всегда будет так выглядеть, потому что реюзабилити стоит во главе угла у всех нормальных разрабов, которым впадлу плодить сущности. Нельзя придумать архитектуру, в которой будут "магические" модули, которые в себе так хитро спрячут нюансы реализации, что стрельнувший модуле произвольный заранее неизвестный косячок не выберется за его пределы. Только тесты и личная квалификация/квалификация команды при разработке, другого не дано, чтобы хотя бы процентов на 80% быть уверенным, что ПО достаточно качественное.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру