С чего GNU ПО является безопасным и сохраняет конфиденциальность?

Эти программы и ОС - это не только код под GPL, это и сообщество над ним работающее.

Случайный открытый софт упакованный кем попало и выложенный на случайный докер-хаб/ppa безопасным не является. Это известная истина имеющая множество подтверждений.

Но проекты и дистрибутивы делаются не случайными людьми, эти люди не анонимы из darknet, а участники сообщества, организаторы различных Foundations, знакомые вживую, регулярно общающиеся и работающие сообща.

Поэтому кроме банального «я могу сам посмотреть», есть ещё и цепь доверия. Я не просто могу посмотреть код, я лично знаю человека который лично знает человека, который этот код пишет.

Репутация в Open Source разработке значит очень много, и это очень важная часть всего процесса.

Твои слова звучат убедительно. Скажи мне, почему Ubuntu и все ее подбные не потеряли репутацию после истории с amazon? Так же, почему после темной истории с TrueCrypt, появился VeraCrypt на его основе, и тем не менее имеет нормальную/нейтральную репутацию?

Когда у кого-то все работает, то он не бежит писать авторам или, например, на ЛОР об этом. Так и тут, мы никогда об этом не узнаем, пока кто-то не обнаружит что-то подозрительное.

А код проверять необязательно, если нет подозрительной сетевой активности. А уж это не сложно выявить.

но будет и ряд людей, которые будут орать что нет

Кто, например?

итого ты все равно вынужден довериться кому либо.

Нет, ведь в этом случае можно выяснить, какая из сторон гоаорит правду.

Самому проверять используемое ПО на наличие подозрительной сетевой активности, хотя бы перед первым использованием. А лучше и после обновления.

Отличаются тем, что в случае СПО, проблему обычно проще устранить.

Нет, ведь в этом случае можно выяснить, какая из сторон гоаорит правду.

Если человек сам код не читал и фундаментальных фактов не имеет, а лишь косвенные, то здесь какая сторона будет кричать убедительней, в сторону той и будет выбор, это обычная психология.

Ну вот смотри ТС, для моих собственных нужд мне пришлось хорошо так изучать сорцы трёх разных крупных программ. Не думаю, что я один и то что другие ковыряют те же программы, которые пришлось ковырять мне.

не живется без поцтерошлака

я тут недавно читал man logger:

      --journald[=file]
 
Examples:

                  logger --journald <<end
                  MESSAGE_ID=67feb6ffbaf24c5cbec13c008dd72309
                  MESSAGE=The dogs bark, but the caravan goes on.
                  DOGS=bark
                  CARAVAN=goes on
                  end

                  logger --journald=entry.txt

Если защищающаяся сторона не предоставила убедительных доказательств, значит истец прав. В этом вопросе действует презумпция виновности.

Тут речь идёт не об «устранить», а об «обнаружить».

Ваш линух — дырявое решето, сливающее инфу одновременно ЦРУ, Моссаду, и разведке Ватикана.

Можешь начинать защищать.

химдобавки — задача с ограниченной сложностью (O(1))

уел! Да, с аудитом кода не сравнить, но ведь принцип схожий.

Репутация в Open Source разработке значит очень много, и это очень важная часть всего процесса.

Замечательно. Linux Mint два года назад

https://blog.linuxmint.com/?p=2994

По-моему, это круто. Но как это отразилось на репутации? По-моему, никак...

Libux Mint не ориентирован на безопасность и т.п. А дстрибутиву «для хомяков» простить могут многое, тем более, если проблема была оперативно выявлена и устранена.

простить могут многое, тем более, если проблема была оперативно выявлена и устранена.

Ну да. До следующего раза. Как-то несильно отличается от «вендового» скачать что-то с помойки.

Для меня вот взлом (двухкратный) сайта Transmission однозначно послужило отказом его использования на MacOS. Меня тотпронесло, и относительно оперативно залатывали.

Но как-то третьего раза ожидать не хочу.

Его могут хоть 10 раз взломать, все равно исходники размещены на гитхабе, а бинарники в репозиториях дистрибутивов. В случае с GNU/Linux.

Откуда уверенность что репы мака которые закрытые и у яблока не взломаны сто лет назад и там не заложено какое-то говно? Ты даже узнать о том, что там происходит не можешь.

Проприетарщики скорее скроют факт взлома, чем придадут огласке, в отличии от некоммерческих СПО проектов. Хотя, разумеется, это не значит, что репам васяна доверия больше, допустим, чем Apple.

Откуда уверенность что репы мака которые закрытые и у яблока не взломаны сто лет назад и там не заложено какое-то говно?

Нормальные люди ориентируются на то, что есть, а фанатики на выдумки.

ЗЫ: А у тебя под кроватью бабайка живёт. Не докажешь, что её нет — прячется хорошо.

В данном случае «выдумки» (неподтвержденная информация) - это про отсутствие дыр, бекдоров и троянов в эппловском софте.

Качество свободного софта - это проверяемая информация.

Нормальные люди ориентируются на то, что есть

Если ты сидишь в тёмной комнате и ничего не видишь, то это не значит что ты в ней один и что кроме тебя, стула и кусочка пола + воздуха во всей вселенной нет ничего. Но «нормальные» люди ориентируются на то что есть в их фантазиях, вместо того чтобы считать вероятности событий и собирать статистику или хотя бы включать логику время от времени, в этом и есть основная проблема человечества. А логика говорит следующее — злоумышленники не только в инете обитают, а вполне себе живут в обществе, в том числе работают в крупных IT компаниях, стараясь протолкнуть всякую гадость в апстрим. И чем больше людей работает над проектом + чем меньше людей смотрят на сорцы, тем больше шансов что кому-то это удалось.

И чем больше людей работает над проектом + чем меньше людей смотрят на сорцы, тем больше шансов что кому-то это удалось.

Ну это не так. Открытость или закрытость софта имеет весьма косвенное влияние на безопасность продукта.

Качество свободного софта - это проверяемая информация.

Не совсем. Проверять качество — это бабки. А так косвенно можно судить вполне.

И это не зависит опять же от открытости или закрытости. Если приложение падает на ровном месте, нет документации/справки и так далее, то ... понятно.

ЗЫ: А у тебя под кроватью бабайка живёт. Не докажешь, что её нет — прячется хорошо.

У меня там кот обитает, он бабаек боится, как и мышей с крысами. Но, кстати, да, если подходить с точки зрения безопасности, то можно полагать что под кроватью прячется сосед, пока обратное не доказано.

100% уверенности тебе никто не даст, но сама возможность того, что кто-то может заметить и распространить инфу уже является некоторым гарантом, т.к. повышают риск палева, а большинство мейнтейнеров в крупных проектах так или иначе на виду обычно.

От простых контрибьюторов чтобы какой-то участок кода приняли в проект, его обычно обсуждают на всяких багтрекерах несколько человек. Если речь не идёт о небольших приложениях, но их и проверить намного проще.

Так и выходит, что исходники крупных или популярных вещей смотрят много человек, и могут наткнуться на спорные участки даже случайно, а для мелких проверить всё самостоятельно намного проще. Не стоит забывать, что open source — это не только развивать какое-то конкретное приложение N, но и пилить свои велосипеды, глядя как это уже реализовано в приложении N, просто, скажем, на другом языке, или делая форк, т.е. гарантированно разбираясь что и зачем в коде делается.

Теоретически можно и в таком раскладе что-то придумать, но вариант с закрытым кодом ещё хуже — там вообще твори что хочешь и зачем хочешь, и чтобы проверить кто, что и зачем там делает придётся очень долго сидеть с дизассемблерами, снифферами и т.д.

И надавить на корпорацию проще, чем на целое независимое сообщество(хотя компаний, которые занимаются открытыми исходниками тоже, в принципе, хватает, но там у тебя как минимум есть шанс узнать об их решениях, про убунту и амазон ты же откуда-то знаешь, так что это скорее аргумент «за», чем «против»).

определение слова «исходный код»

The “source code” for a work means the preferred form of the work for making modifications to it. “Object code” means any non-source form of a work.

Как-то очень спорно для определения. Preferred.

какое есть, ну и в юр. документах 100% точного определения обычно не требуют: любой вменяемый судья вмиг определит, что обфускат явно не «Preferred»

Не не не, девид блейн! Обфускацию еще надо доказать. Мне вот сейчас приходится переписывать код с ROR на java. Так вот, эта блевотина на руби не просто заплетает мозг, но и работает в миллионы раз медленнее явы. Рапорт генерируется 30-45 минут. Я переписал на жабе и sql запросах за 0.025 секунды :)

И тот руби код писался на полном серьезе для продакшена и юзается досихпор.