Почему вы доверяете бинарным репозиториям?

opensource, бинарники, шапочка из фольги

2

1

Всегда было интересно спросить, у тех, кто постоянно уповает на всевозможные потенциальные закладки в проприетарном программном обеспечении, и у тех, кто особо рьяно относится к своей безопасности\анонимности\приватности\етк, но при этом сидит хоть и на opensource, но бинарной дистрибуции ПО

А почему вы собственно уверены, что бинарные пакеты программ (да и ядра) в репозиториях вашего дистрибутива соответствуют исходным кодам этого самого ПО? Ведь даже в теории, чтобы это проверить, необходимо знать полное сборочное окружение, в котором собирались пакеты, но эта информация не поставляется майнтенерами. На практике же, этого никто и никогда не проверяет.

Чем каноникал, шапка, дебиан, арч и все прочие лучше какого-нибудь майкрософта или гугла? На чем основана ваша уверенность в том, что в вашей gnu/linux ос, которую вы даже не собирали самостоятельно, нет закладок?

Ссылка

←	Суеты навести охота

Актуальный черный список

→

← 1 2 3 →

Ответ на: комментарий от BigAlex 07.10.21 09:07:09 MSK

Можно еще добросить, что некоммерческие проекты основанные на миротократии плохо защищены от социальной инженерии, а стать мейнтейнером пакета в том же Debian достаточно просто, при этом старые мейнетейнеры уходят регулярно и можно подхватить пакет с большой аудиторией. Но тут уже работает схема с неуловимым Джо.

BigAlex ★★★
(07.10.21 09:14:35 MSK)
Последнее исправление: BigAlex 07.10.21 09:15:03 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от BigAlex 06.10.21 14:28:26 MSK

При этом внутри коммерческой компании есть конкретные сотрудники и начальники, которые имеют персональную ответственность за этот бинарник или сервис, т.е. люди действительно отвечают своей зарплатой, должностью и карьерой, в отличии от тех, чей пример вы привели.

Ниразу не слышал про пустые коридоры m$.

anc ★★★★★
(07.10.21 09:17:12 MSK)

Ссылка

Ответ на: комментарий от BigAlex 07.10.21 09:07:09 MSK

Выпуск некачественной продукта или «плохого» бинарника в составе продукта будет стоить условный миллиард и доли рынка, которая отойдет конкуренту.

О, да... man lovsan

однако при беглом экскурсе в историю оказывается, что в этих проектов нет ресурсов не только на security аудит исходников софта

Я уже говорил lovsan ?

Все можно свести к простой аналогии - вы бы легли под нож хирургу с дипломом, который официально на фуллтайме работает в больнице

и отправляет в морг по трупу в неделю

это значит, что они имеют ... разную ответственность.

Опять lovsan: И много индусов уволили? Хотя... та кто ж их считает...

крупная софтовая корпорация отвечает сама перед собой миллиардной капитализацией.

Вопрос знатокам: Почему решения проблемы от «крупной софтовой корпорации», прилетают позже чем от мелких разрабов антивирей которые даже не владеют исходниками продукции «крупной софтовой корпорации»?

anc ★★★★★
(07.10.21 09:38:53 MSK)

Ответ на: комментарий от anc 07.10.21 09:38:53 MSK

Мне очень нравится, что вы думаете, что я все про Microsoft и Windows, а допустим, не тот же Red Hat и RHEL. Ну, да ладно.

Хорошо, lovsan - 100_000 инфицированных компьютеров по всему миру в 2003 году. Давайте сядем и посчитаем все remote code execution уязвимости c начала 2000х в самом ядре Linux + хотя бы каком-нибудь apache (вполне был актуален на начало 2000х).

Почему решения проблемы от «крупной софтовой корпорации», прилетают позже чем от мелких разрабов антивирей которые даже не владеют исходниками продукции «крупной софтовой корпорации»?

Потому что по состоянию на 2003 год у винды не было встроенного (бесплатного) антривируса и патчить приходилось внезапно саму ОС и распространять патчи через Windows Update который доступен только при наличии лицензии или накатив таблетку с вредоносным кодом. Я соглашусь, что наличие сырцов в подобных ситуациях - преимущество, можно запилить какой-то воркараунд самому или его кто-то запилит из сообщества пока решение делает вендор.

Но опять таки, давайте про что-то более актуальное, например, уязвимости класса meltdown и spectre. Это намного лучший пример, потому что проблема затрагивает все ОС. Сорудники коммерческих компаний или волонтеры их обнаружили? По meltdown майкрософт выпустил апдейт 3 января 2018, linux 4.15 с фиксами вышел только 28 января! Все сидели и ждали пока исправления появятся в ванильном ядре и сделают его те самые сотрудники крупных корпораций, потому что ни один волонтер ни в одном Debian самостоятельно ничего сделать не могли.

BigAlex ★★★
(08.10.21 11:56:11 MSK)
Последнее исправление: BigAlex 08.10.21 11:59:46 MSK (всего исправлений: 3)

Ответ на: комментарий от BigAlex 08.10.21 11:56:11 MSK

Хорошо, lovsan - 100_000 инфицированных компьютеров по всему миру в 2003 году.

Плюс ещё 100000*100000 которые не посчитали.

например, уязвимости класса meltdown и spectre. Это намного лучший пример, потому что проблема затрагивает все ОС.

Нет, это «не лучший пример». В качестве сравнения они совершенно не уместны. Потому что они сами не ползают и не останавливают к люлям работу в отличии от lovsan и т.п.

По meltdown майкрософт выпустил апдейт 3 января 2018, linux 4.15 с фиксами вышел только 28 января!

Вы сейчас точно про баги камня говорите?

anc ★★★★★
(09.10.21 10:13:06 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 →

←	Суеты навести охота

Talks

Актуальный черный список

→

Похожие темы