Вы слепо верите в СПО? Тогда мы идём к вам

Так я про это говорю здесь лет 20 уже. Opensource не гарантирует вообще ничего, «миллионы глаз», которые смотрят там что-то и находят это миф. Если коммерческая организация отвечает хотя бы своей репутацией, то opensource от Васи Пупкина это вообще ничто, Вася ничем и ни за что не отвечает и репутации у него нет, поэтому в этом коде может быть всё что угодно.

Обычно говорят, что есть же возможность посмотреть? В проприетарном ПО этой возможности нет. Хотя в чем тогда смысл использовать спо, если все равно не смотришь. Для меня загадка.

Обычно говорят, что есть же возможность посмотреть?

Ну есть весьма условная возможность ядро просмотреть, а кули толку? Что юзер в том поймет? Ок, не юзер а компания, а у этой компании есть столько денег, что бы нанять прогеров которые ВСЕ ПО используемое и ядро проверят?)

Даже так: наняли сотню программистов, проверили они по, ядро, миллионы строк, ничего не нашли, отлично, радости полные штаны, запустили цех, и тут обана, вместе с обновлениями прилетает фикс какой-то мелкой утилиты, и этот фикс не только фиксит прошлый баг но и открывает дверь в систему – кто это теперь проверит, опять нанимать сотню программистов, и так каждый апгрейд? Вордпресс вон, сколько глаз проверяют, а новые дыры все появляются и появляются, меняются только позы изнасилования :D

Если коммерческая организация отвечает хотя бы своей репутацией, то opensource от Васи Пупкина это вообще ничто

Вот вообще неочевидно кто больше ценит свою репутацию коммерческая организация или Пупкин.

Cотню ? Оптимист, хе-хе. На такую работу сотни тысяч специалистов мало.

Если проблема смотреть большие объемы кода, используйте автоматические средства поиска потенциальных уязвимостей. Главная фишка СПО не только возможность посмотреть, но и сохранность (доступность) программы во времени, возможность поменять под свои нужды, сделать свой форк (проверенный средствами указ. выше) и т.д.

На бытовом уровне никто (в массе) не проверяет и даже больше, ставят бинарные дистрибутивы.

Если проблема смотреть большие объемы кода, используйте автоматические средства поиска потенциальных уязвимостей.

И она вывалит текста ещё больше, чем объём кода.

Что за наивный сценарий? Если у тебя есть уже проверенный код, то кто же туда позволит обновления вливать без контроля.

Недоказуемо!

Все эти проверки кода - фикция, потому что не реализуемо при разумных затратах.

Если коммерческая организация отвечает хотя бы своей репутацией

Что-то не припомню ни одного случая в истории, чтобы коммерческая организация удаляла зонды из своих продуктов ради репутации.

Это точно. Достаточно посмотреть EULA – «Мы вообще ни за что не отвечаем, вы купили наш софт за 50000$ на свой страх и риск»

Это потому, что зонды только в головах у столманутых.

В данном случае это исходные данные: «есть проверенный код»

Достаточно посмотреть EULA – «Мы вообще ни за что не отвечаем, вы купили наш софт за 50000$ на свой страх и риск»

Только не за 50000$, а за 50$, или того меньше. Софт за 50000$ подразумевает ответственность, как правило.

Cотню ? Оптимист, хе-хе

Мне просто повезло незаглядывать в исходники ядра, даже не знаю сколько там исходников. Как-то залез в исходники друпала 8, офигел от 6 тысяч файлов и больше не заглядывал, а тут ядро линукса – не, я не хочу в ПНД, пусть его другие смотрят.

Проблема ещё в том, что Линукс - не только ядро...

Неа

чтобы коммерческая организация удаляла зонды из своих продуктов ради репутации.

Lenovo.

Но там такого наделали, что жесть.

Я верю в СПО по идеологическим причинам, при чём тут это всё?

Как будто мусорософт за что то отвечает. Аз ис - и иди в задний проход со своими убытками

С дисяточки в банк заходишь? Или может дебаггер с крякерскими скриптами запускаешь?

Захожу.

Вася ничем и ни за что не отвечает и репутации у него нет, поэтому в этом коде может быть всё что угодно.

Даже потенциальная возможность посмотреть код очень важна.

Особенно ярко это на примере криптографического софта проявляется. В случае OpenSource можно надеяться, что в нем нет закладок,в случае проприетарного они там, наоборот, скорее всего есть и пофиг на репутации.

Too fat.

Если коммерческая организация отвечает хотя бы своей репутацией, то opensource от Васи Пупкина это вообще ничто, Вася ничем и ни за что не отвечает и репутации у него нет

Очень спорное заявление.

Значит, это плохой код. Чинится

Ок, не юзер а компания, а у этой компании есть столько денег, что бы нанять прогеров которые ВСЕ ПО используемое и ядро проверят?)

Я не могу гарантировать, что в 100.00% правильно посчитаю сдачу, поэтому я не буду ее считать вообще?

Типичный fud и довольно тупые передёргивания.

«миллионы глаз», которые смотрят там что-то и находят это миф.

Регулярно находят уязвимости и их фиксят.

Не часто. Хорошо бы голосование.

Что за наивный сценарий? Если у тебя есть уже проверенный код, то кто же туда позволит обновления вливать без контроля.

Ты не поверишь, но есть такие модные нынче у хипстеров ублюдочные язычки, которые модули/библиотеки из инета подтягивают в ходе исполнения или компиляции. Ну типа

import "github.com/username/packagename"

Хипстеры говорят что это так теперь правильно, модно и не по-старопердунски. Дебилы.

https://ru.m.wikipedia.org/wiki/%D0%90_%D1%83_%D0%B2%D0%B0%D1%81_%D0%BD%D0%B5%D0%B3%D1%80%D0%BE%D0%B2_%D0%BB%D0%B8%D0%BD%D1%87%D1%83%D1%8E%D1%82

В общем смысле фраза обозначает ситуацию, когда некто в ответ на критические замечания в свой адрес указывает на гораздо более серьёзные, по его мнению, недостатки критикующего, вместо того, чтобы отвечать непосредственно на саму критику.

С чего бы? Если ты смотришь открытый код используемых программ, то тебе нечего бояться. Как часто ты это делаешь?

Хорошо бы. Так же будешь ждать пока кто-то другой сделает, как и с изучением исходников? 😁

Согласно теории вероятности, есть вероятность того, что кто-то просмотрит код и найдёт ошибку. Вероятность этого же при закрытом исходном коде практически равна 0.

Как же тогда проприетарщики софт разрабатывают, не заглядывая в код?

Это типа шпаргалка как нужно захватывать и дискредитировать СПО проекты? Ну микрософты так и делают. Не считая того, что гребут код экскаватором. Конечно в мире капитализма вся эта открытость не работает. И даже хуже, работает против людей. Не зря акулы так налетели на опенсорс и всячески его пропагандируют. Пора уже новое движение создавать против опенсорса и гитхаба. Обмениваться кодом внутри тайной иерархической организации типа масонской.

Если ты смотришь открытый код используемых программ

Не просто смотрю, но и патчи присылаю икоммиты иногда делаю (и публичные и в своих форках). Был бы закрытый код, пришлось бы ныть в условном багтрекере в идеальном случае. А в обычном случае - общаться с индусами в поддержке.

По поводу тысячи глаз, K48, помнится, в кеды закоммитил «Privet LOR», выпилили моментально.

Обычно говорят, что есть же возможность посмотреть? В проприетарном ПО этой возможности нет. Хотя в чем тогда смысл использовать спо, если все равно не смотришь. Для меня загадка.

«Возможность посмотерь» только одно из преимуществ опенсорса, при чем, не уникальное, т.к. лицензии некоторых проприетарных систем тоже подразумевают получение исходников продукта. Гораздо более существенное преимущество (решающий фактор во многих случаях применения сторонней опенсорс разработки) - софт уже написан, и он бесплатен.

Поскольку заглядывает меньше людей, то вероятность обнаружить ошибку меньше. Также, компания может быть заинтересована в бэкдоре и краже информации. 

Что толку от этой возможности, если аудит никто не проводил?

Какие были известные случаи закладок в открытом коде?

Главная фишка СПО не только возможность посмотреть, но и сохранность (доступность) программы во времени, возможность поменять под свои нужды, сделать свой форк (проверенный средствами указ. выше) и т.д.

Ага, то-то здесь так часто орут про годами висящие баги и ничего не делают, кляня условных разработчиков.

Что-то не припомню ни одного случая в истории, чтобы коммерческая организация удаляла зонды из своих продуктов ради репутации.

А зонды здесь причём? Это осознанная часть ПО.

Обмениваться кодом внутри тайной иерархической организации типа масонской.

Ты про fsf? Ну там у них хурд или что там? Можно на нем сидеть.

Гораздо более существенное преимущество (решающий фактор во многих случаях применения сторонней опенсорс разработки) - софт уже написан, и он бесплатен.

Типа халява? А что проприетарный еще не написан?

Типа халява?

Не поверишь :) Сколько бы раз я не слышал про условное «надо переходить на линакс» от руководителей, всегда превалировало слово «бесплатный» в мотивашке.

Ага, то-то здесь так часто орут про годами висящие баги и ничего не делают, кляня условных разработчиков.

Кто-то орёт, кто-то фиксит. В случае проприетарного софта есть только первая возможность.