LINUX.ORG.RU
ФорумTalks

Возможно ли такое в OpenBSD?

 , , ,


0

1

После прочтения очередной новости о развитии истории с проникновением намеренно уязвимых патчей в ядро Линукса возник вопрос, а возможно ли это в других проектах сравнимого уровня сложности? Взять например OpenBSD. Хотелось бы послушать местных аналитиков о безопасности других таких проектов.


Про OpenBSD ничего не скажу, а в FreeBSD недавно пропихнули кривую (и полуворованную) версию WG, просто воспользовавшись высоким уровнем доверия и возможностью коммитить мимо ревью. Полагаю, лавочку прикроют, возможно сделают ревью обязательным (что ощутимо замедлит разработку).

mord0d ★★★★ ()

Скорее всего. Не забуду, как исправлял полный треш в программной реализации операций с плавающей точкой (там абсолютное значение переменной в двоичном коде получали сбросом старшего бита помимо прочего). Он прошёл ревью в FreeBSD и LLVM (в каком порядке уже не помню) и подписались под ним как бы не пять разных ревьюверов.

xaizek ★★★★★ ()
Ответ на: комментарий от mord0d

Вопрос про OpenBSD без тега openbsd? На что ты надеешься?

Есть таг bsd. OpenBSD - лишь пример.

hummer ()

Не вижу причин, по которым гадости не попадут в открытый проект, который принимает патчи от сообщества. При бдительных мейнтейнерах можно разбить каку на несколько патчей и последовательно идти к цели в течении месяцев.

Более того, кто надо уже внедрил что надо и, возможно, уже пользуется. Либо ждёт случай.

Irben ★★ ()

Нужен доброволец на попробовать.

Pavval ★★★★★ ()

Нет конечно, такие фокусы не работают, когда оба коммиттера друг друга знают.

t184256 ★★★★★ ()

Да, возможно, причём в любой ОС. Более-менее большой объем кода едва ли будут досконально изучать.

IPR ★★★★★ ()
Ответ на: комментарий от TheAnonymous

Это же про IEEE 754?

В целом да, но не в этом месте. Там на входе была целочисленная переменная в обычном регистре. Функция осуществляля какое-то преобразование в плавающую точку.

xaizek ★★★★★ ()
Последнее исправление: xaizek (всего исправлений: 1)

а куда валить с решета?на макакось иль виндувсь?

Neresar ★★ ()
Ответ на: комментарий от Singularity

выяснилось, что предложенная для FreeBSD реализация WireGuard представляла собой образец низкосортного кода, изобилующего переполнениями буфера и нарушающего лицензию GPL.

Мэттью Мэйси, разработчик проблемного порта для FreeBSD, прокомментировал ситуацию тем, что совершил большую ошибку, взявшись за работу, будучи не готовым реализовать данный проект. Получившийся результат Мэйси объясняет эмоциональным выгоранием и результатом проблем, возникших из-за постковидного синдрома. При этом Мэйси не нашёл решимости отказаться от уже взятых на себя обязательств и попытался довести проект до конца.

На состояние Мэйси также мог повлиять недавний тюремный срок, который он получил за незаконные действия в попытке выселения жильцов из купленного им дома, не желающих съезжать добровольно. Вместе с женой они подпилили балки перекрытия и проломали отверстия в полах, чтобы сделать дом непригодным для проживания, а также пытались запугать жильцов, взломали заселённые квартиры и вывезли имевшиеся вещи (действие было квалифицировано как кража со взломом). Для того, чтобы избежать ответственности за совершённые действия, Мэйси с женой сбежал в Италию, но был экстрадирован в США и отсидел более четырёх лет в тюрьме.

Это прекрасно.

Вот о чём сериалы надо снимать, вместо чтоб кали линуксы пиарить. :) Привет Мистеру Роботу.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)

Конечно, ты думаешь там процесс приёма патчей существенно отличается, даже так: вообще может как-то существенно отличаться?

slovazap ★★★★★ ()
Ответ на: комментарий от slovazap

Конечно, ты думаешь там процесс приёма патчей существенно отличается, даже так: вообще может как-то существенно отличаться?

Могут отличаться политики кодревью и взаимоотношения между разными уровнями комиттеров, их иерархия, полномочия итд.

alienclaster ★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)