Вы слепо верите в СПО? Тогда мы идём к вам

Opensource не гарантирует вообще ничего

А я недавно говорил, что везде может быть мусорный код, но теоретики в меня плевались...

Нет, не написан. Если бы все нужды индустрии покрывал проприетарный софт, мы бы сидели на винде/маке или каком-нибудь очередном UnixWare, и ни каких Linux и FreeBSD не было бы даже в фантазиях красноглазиков.

Задумайся, почему такая низкосортная студенческая поделка, повторяющая к тому моменту уже протухающие идеи UNIX, со временем развилась в полноценную ОС и захавала как минимум рынок серверов, суперкомпьютеров и жирный эмбеддед?

Кстати, на счет халявы, это тоже весьма условно, ведь и опенсорсу частенько нужна доводка для конкретных нужд, и тогда потом или сразу приходится нанимать программиста для модификации, с квалификацией не ниже, чем у самих разработчиков данного опенсорса. Но идея использования опенсорс в том, что все же затраты на доводку будут меньше, чем затраты на разработку собственной системы с нуля.

Поскольку заглядывает меньше людей, то вероятность обнаружить ошибку меньше.

Количество найденных ошибок никак не влияет на то, сколько этих ошибок осталось.

Также, компания может быть заинтересована в бэкдоре и краже информации.

Какие еще столмановские страшилки на ночь почитать?

Ты за кого болеешь? Наличие свистка еще ничего значит.

Количество найденных ошибок никак не влияет на то, сколько этих ошибок осталось.

Отлично, вы на пути к просветлению. Закрытый код не гарантирует починку ошибок, в отличие от свободного.

Какие еще столмановские страшилки на ночь почитать?

Фейсбук не собирает информацию? В винде нет бэкдоров?

Я не очень понял, какой проприетарный софт еще не написан, а свободный уже написан. Типа проприетарный делается под заказ и контракт, а свободный для души?

Задумайся, почему такая низкосортная студенческая поделка…

Потому что столман не мешал?

В винде нет бэкдоров?

Зачем специально делать бекдоры если есть win32k.sys?

Просветите, что это такое?

Закрытый код не гарантирует починку ошибок, в отличие от свободного.

Вот это вера. А кто и на каких условиях выдает гарантии починки?

Фейсбук сервис, айфон золотая клетка, винда для хомячков - плавали знаем. Внезапно есть те хочет платить деньгами, а не временем.

Просветите, что это такое?

Примерно то же что X.Org, только в ядре. Ввиду того GUI подсистема находится в ядре, любое неосторожное движение с окнами, меню, палитрой и т.д. может привести в возможности установки руткита. В Линуксе в худшем случае упадут иксы/Wayland сервер и всё, на ядро это не повлияет.

Я не очень понял, какой проприетарный софт еще не написан, а свободный уже написан.

Вопрос не в том, что проприетарный софт еще не написан, а в том что проприетарные аналоги нет смысла писать, т.к. уже есть опенсорс. Тот же линукс, латех, ллвм. LLVM, несмотря на поддержку Apple, не является проприетарной разработкой этой компании. Видимо, в одно рыло разрабатывать LLVM слишком большой риск, даже для такого гиганта, как Apple, а вот заработать на условно бесплатном результате труда квалифицированных хомячков - самое то для коммерцоида.

Вот это вера. А кто и на каких условиях выдает гарантии починки?

На условиях того, что если разработчики этого не сделают, сообщество форкнет и исправит. 

Фейсбук сервис

Мастодон тоже.

На условиях того, что если разработчики этого не сделают, сообщество форкнет и исправит.

Есть полно проектов где баги висят неисправленными десятки лет и почему-то их не спешат исправлять или форкать. Некоторые из таких проектов активно используются несмотря на баги.

Прикольно, но после бага с поломкой фс это даже не то чтобы прямо удивляет.

Ну да, в любой непонятной ситуации делай форк. Исправят как многострадальный тиринг? Как там с форками неугодных системд и вейланда?

Одно дело баги, баги есть всегда. Но если это уязвимость — тут все пытаются исправить как можно быстрее.

Исправят как многострадальный тиринг?

Где? У меня только на нвидии, но там проприетарные драйвера.

неугодных системд и вейланда

Да вроде угодны.

Но если это уязвимость — тут все пытаются исправить как можно быстрее.

Есть чёрный рынок уязвимостей, о которых пока публично неизвестно.

X11 это бэкдор by design, поэтому то что оно не в ядре погоды не делает.

Да-да, либо умвр, либо тебя ограничивает железо, очень удобно.

Ну тут проще, обычных пользователей это не затронет (никто не станет платить деньги за вашу информацию), а там, где необходима безопасность, есть проверка кода.

поэтому то что оно не в ядре погоды не делает.

X.Org можно не от рута запускать. У модуля ядра намного больше возможностей эксплуатации уязвимостей.

Фикция не фикция но в 1кк проекте видел историю узбека когда проприетарный поисковик уязвимостей выдал всего 20 замечаний из которых более половины были релевантными. Но, конечно уязвимости и бэкдоры штуки разные.

Что-то я упустил момент, когда тема перешла в обсуждение аховых бекдоров винды и мимишных бекдорчиков линукса😁

Но если это уязвимость — тут все пытаются исправить как можно быстрее.

Ага, ага, как разрабы вордпресса – объявить фичей https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389 <уязвимость 18-го года и до сих пор работает, можешь завалить пару сайтов прямо сейчас ею :)

Его же форкали после этого. Если судить по развитию форка, уязвимость не такая уж и серьёзная. Не закрыли — плохо, но, вероятно, на то есть причины.

Форк это форк, неофф. версия, а как поступили офф разрабы уже написал. Насколько это серьезно: берем простейший хостинг (пр. бегет с начальным тарифом), садим туда вордпресс, и со своей машины производим 1 запрос в секунду на тот урл (со всеми стандартными вп скриптами) – хост выдерживает 5-7 минут, это с одной машины. Понятно, что можно взять тариф побольше, со всякими антиддос защитами и там придется изрядно постараться целой зомбосетью что бы завалить, но тем не менее, кто вордпрессом пользуется, кто его основная клиентура, разве спецы которые вкурсе всех его уязвимостей. Нет, его основная аудитория с трудом понимает что такое хостинг, сажает в него всякие визивиг редакторы, миллион плагинов, после которых он и так еле работает, плюс прилетят пара подобные ддос запросов от какого нибудь мамкиного хацкера и все :D

коммерческая организация отвечает хотя бы своей репутацией

Чем-чем?

Часто смотрю, часто фигею, бывает что сам коммичу. Последнее что смотрел был код pymongo. Лютая жесть

Также, компания может быть заинтересована в бэкдоре и краже информации.

Какие еще столмановские страшилки на ночь почитать?

Почему страшилки, я что-то пропустил и в винде и маке уже можно полностью отключить телеметрию и всякую странную активность?

Какие были известные случаи закладок в открытом коде?

Мне с ходу вспоминается тайм бомба в XScreenSaver (или ещё в какой такой ерунде), когда в Debian пропустили.

Ну понятно, кто же там подробные проверки будет делать тщательные — так…

Каждый опенсорсный проект имеет хотя бы двух контрибуторов в код. Так что смотрят.

Не ты пропустил, а я ее не уследил, что диалог об спо повернули в сторону винды, постараюсь быть внимательнее.

Задумайся, почему такая низкосортная студенческая поделка, повторяющая к тому моменту уже протухающие идеи UNIX, со временем развилась в полноценную ОС

Да просто отдушина была для людей, возможность вырваться из капиталистического ада. Потом капиталюги конечно всё загребли под себя и опошлили.

Платить кому? Мирозданию? Проститутка кет ты

Ну типа за мак и венду плотишь деньгами, а за линукс свободным временем.

Регулярно читаю исходники Community версии одного коммерческого продукта. Очень выручает при написании плагина.

Да и вообще регулярно читаю исходники в OpenSource проектах. Последнее, что было: VSCode и Gitlens.

Однако, моя мотивация любопытство и попытка понять, как это устроено, а не поиск дырок и ошибок.

Если честно, то мамкины развенчеватели миллионов глаз за столько лет уже подзадолбали. Есть бесплатный для СПО coverity. Закрывашкам за него надо платить. Миллион глаз может и не заменит, но 999999 наверняка.

Софт за 50000$ подразумевает ответственность, как правило.

Мой работодатель над тобой ржёт. Его контрагенты — под столом.

«Два дебила — это сила!»

Да просто отдушина была для людей, возможность вырваться из капиталистического ада. Потом капиталюги конечно всё загребли под себя и опошлили.

Да, так это внешне выглядит. Но гораздо интереснее выяснить «физику» этого процесса. Почему один за другим коммерческие UNIX перешли в категорию едва живого легаси, а гиганты индустрии стали вкладывать в какую-то поделку, которая позавчера была вполне студенческой? Ведь с их ресурсами их продукция должна была быть недосягаема по качеству, фичам и проч. Не говоря о влиянии маркетинга на умы бизнесменов, в то время как у торвальдсов и патриков было только «свобода, опенсорс» - ну и что? свободу на хлеб не намажешь.

и тут обана, вместе с обновлениями прилетает фикс

ЛОХ

Отвечает репутацией? Приведи хоть один пример, когда крупная компания на грани монополизма понесла хоть какие-то убытки от репутационных потерь из-за багов и/или уязвимостей.

жаль, что photoshop и спарк об этом не знают

При чем тут уязвимости? Речь о специально оставленных бэкдорах. Например, Касперский из-за этого понес репутационный ущерб и фактически потерял западный рынок.

Так то не монополия... а игрок на рынке с конкуренцией, антивирусов-то поболее одного будет. Я про тех крупных игроков, от которых по факту некуда уходить.

строго наоборот: Вася Пупкин отвечает своей жопой, которую, если что схватят и посадят в тюрьму, а коммерческая организация не отвечает вообще ни за что

очень хреново, методом хуяк хуяк и в продакшен - в виндовом калькуляторе с 95 винды одни и те же баги, антивирусы с 95 года пропускают одни и те же вирусняки и всем похрен.

Почему ты хочешь какой-то вырожденный случай? Я не знаю монополистов, которые оставляли в свои продукты бэкдоры.

Да ну? Ну не совсем монополисты, но регулярно новости о том, что очередной производитель устройств на Android встроил очередной бекдор или шпионское ПО. В данном случае скорее картельный сговор — от Android уходить толком некуда, смартфон или планшет уже жизненно важен, а когда это делают все — у потребителей нет выбора. Не считая гиков с самодельными прошивками, в которых тоже вопрос, нет ли чего...