log4j — уязвимость на сервисах AWS, Cloudflare, iCloud, Minecraft, Steam

Я не понял, о какой статье ты говоришь. На хабре просто написано, что есть некая либа, написаная некими аноном, все ее используют, никто не проверял.

Что тут не соответствует действительности? То, что тысяча глаз её не проверяла? Ну, видимо, не проверяли. В софте бывают уязвимости. Сюрприз-сюрприз.

ППКС. Добавлю только то, что разговоры о том, что было бы неплохо проводить аудит безопасности значимых open source проектов ведутся как минимум с heartbleed-а, если не дольше, но воз, на сколько я знаю, и ныне там

Писал не школьник? Никто не использует? 😉

Венду тоже школьники-интерны пишут.

Про Хабр и говорю. Там же не только школьника, а еще и продвигается идея того, что школьнику обязаны платить корпорации. А кто платит тот и заказывает музыку, это же мы знаем.

Детский сад, штаны на лямках - это если кратко.

Развёрнуто - зависит от схемы финансирования. Если это организовать через фонд, куда скидывается много компаний, как с Linux Foundation, то в чем проблема? Если оплачивается непосредственно аудит безопасности - в чем конкретно проблема? Не забывай, что лицензия остаётся открытой, и никаких особых прав на код корпорации не получают. Ну, да, они, возможно, смогут как-то влиять на развитие проектов, если будут платить непосредственно авторам ПО. Но это можно нивелировать прокладкой в виде специального фонда.

Откуда столько ненависти к FAANG в треде? А как же «Гугл опенсорсит столько полезных штук для линя», «Microsoft — колыбель опенсорса, хранитель гитхаба, и создатель божественного VS Code», и прочее?

Да вообще всё самое хорошее создали яркие энергичные личности как например Билл Гейтс или Цукерберг. На их достижениях просто всячески пытаются паразитировать всякие неудачники и маргиналы типа того же Столлмана. Потому что последним никогда не достичь и десятой доли высоты настоящего софтозапильщика.

Индийские!

Linux Foundation

Там немного другие, более наболевшие приоритеты. Настолько наболевшие, что тему на лоре снесли 😁

Ты MS к FAANGу не приплетай. Они – хипстерские галеры, а MS душевная компания.

Пост над твоим:

Криокамера протекла?

Ну да, я чот провтыкал

Да никто не будет нанимать аудиторов ради какой-то сраной библиотеки. Всем насрать.

Если с этого не зарабатывают, то в большинстве случаев ты прав. Но если на опенсорце можно будет получать хорошие деньги, вместо устройства в копрорацию, то начнётся (хоть какая-то) конкуренция.

Свобода. И никакой ответственности.

Т.е. я тебе пишу код бесплатно, а потом и еще что-то должен? По мне всё правильно, так и должно быть когда автор на этом не зарабатывает. Возможно теперь больше шансов взлёта опенсорц лицензий с оплатой в случае комерческого использования.

Свеженький апдейт по теме треда:

https://habr.com/en/news/t/599865/ — Автор faker.js и colors.js намеренно сломал свои пакеты

на опенсорце можно будет получать хорошие деньги

Опенсорц и деньги в текущих реалиях это: мы зарабатываем бабло на продукте, а комьюнити его и связанные с ним продукты развивает нахаляву т.к. им они нужны.

Автор faker.js и colors.js намеренно сломал свои пакеты

У парня конкретно кукуха отъехала.

Автор faker.js и colors.js намеренно сломал свои пакеты

У парня конкретно кукуха отъехала

С одной стороны да, а с другой стороны почему бы и нет? Почему бы не взять и не сломать пакеты в NPM? Удалить оттуда все равно их нельзя, как шутил Дрю Деволт.

Ну это уже откровенный вандализм. Его же никто не заставлял выбирать MIT лицензию, когда он выкладывал свои работы. Он бы ещё майнер или криптолокер туда встроил.

Ну это уже откровенный вандализм. Его же никто не заставлял выбирать MIT лицензию, когда он выкладывал свои работы. Он бы ещё майнер или криптолокер туда встроил

И встраивают. А почему нет? Лицензия MIT прямо указывает «мне похеру на ваши проблемы, делаю что хочу».

Лицензия MIT прямо указывает «мне похеру на ваши проблемы, делаю что хочу».

Да это в любой лицензии написано.

А почему нет?

Думаю, потому, что данные действия попадают под 273 статью УК (и аналогичным ей в др странах) «Создание, использование и распространение вредоносных компьютерных программ». А какая там лицения значения уже не имеет.

При чем тут 273? Она подразумевает несанкционированность. Люди ведь не читают лицензионных соглашений, а если в соглашении будет написано «разрешаю уничтожить любую информацию на моем компьютере», то никакой адекватный суд 273 не применит.

Закон приоритетнее лицензий, договоров и т.д. Пункт признают ничтожным.

Закон приоритетнее лицензий, договоров и т.д. Пункт признают ничтожным

Еще раз подчеркиваю слово «несанкционированный». Санкционированность снимает статью 273.

У парня конкретно кукуха отъехала.

Чо это? Он художник - он так видит.

Еще раз подчеркиваю слово «несанкционированный». Санкционированность снимает статью 273.

Написанное где-то в глубине тексте лицензии мелкими буквами предупреждение лишь немного повысит вероятность избежать наказания, не больше. Только если порча софта будет указана как основное назначение программы большими-пребольшими буквами. Сам факт написания и распространения вредоносной программы уже чреват сам по себе, уже является объективным фактом, к которому нужно лишь добавить доказательство умысла. А здесь сгодится любая маскировка предназначения программы.