LINUX.ORG.RU

Кстати о теории миллиона глаз, которые смотрят на опенсорсный код. То ли никто Nginx не прогонял через статические анализаторы всё это время, что вряд ли, то ли все они благополучно не отловили этот баг.

Camel ★★★★★
() автор топика
Последнее исправление: Camel (всего исправлений: 2)

В трепетно-сектанском культе истинно православной сишки(и лор известный филиал данной церкви) такая ерунда как CVE за грех не считается, так же смотри заповедь - «настоящий сишник ошибок не делает, а если сделал значит был не настоящий». Да и вообще, своё не пахнет

zurg ★★
()

В коде на C случился buffer overflow.

Хех. Классика.

WatchCat ★★★★★
()

В аналогичном коде на Rust случилась бы паника и сервер завалился точно так же. Rust — это просто техника безопасносго секса со спидозными бомжами, карта навигации по минным полям. То есть как бы безопаснее, но эта безопасность абсурдна.

byko3y ★★★★★
()
Ответ на: комментарий от Bad_ptr

Как-как... Рисуешь на полу и потом хакаешь в каких хош позах.

targitaj ★★★★★
()
Ответ на: комментарий от maxcom

Это не простой RCE, это AC:H (Attack Complexity: High). Весь публичный прод обязан работать с ASLR примерно вот по этой причине. И Rust от этой необходимости может избавить только если в сервисе нет ни одного байта кода за пределами одного цикла компиляции компилятором Rust-а — иначе легчайше возможен buffer overflow по API, потому что это фундаментальная особенность среды выполнения, а не недостаток какого-то одного языка Си.

byko3y ★★★★★
()
Последнее исправление: byko3y (всего исправлений: 1)
Ответ на: комментарий от urxvt

Ну так вот же его и нашли. ЧТД.

Есть подозрение, что вал обнаруженных уязвимостей связан с прогрессом невросетей. Люди не нашли, анализаторы не нашли, невронки нашли.

Ну и кагбэ вы правы, всё же нашли. То что в опенсорсе находят уязвимости не означает, что их больше чем в непубличном коде.

Так о чём я. Многие полагали, что качество опенсорсного кода выше, потому что на него смотрит миллион глаз. А оказалось, что миллион глаз не очень-то и смотрит, а толк есть от просмотра невроночным глазом, а он болей-лимений один и тот же доступен всем, и опенсорсникам, и проприетарщикам.

Camel ★★★★★
() автор топика
Ответ на: комментарий от zurg

Иди uutils чини. Если кто тут и фанатик, так это ты. Только раз за разом ты используешь реверсивную психологию. Тоньше надо быть.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от IPR

Прост щас миллион глаз ИИ.

Они могут распознавать только типовые паттерны. Получаются такие себе продвинутые статические анализаторы. Горизонт распознавания шаблонов - примерно 20-30 строк.

byko3y ★★★★★
()
Ответ на: комментарий от byko3y

зато производительность просмотра гораздо выше чем у Kees Cook, а остальные «миллионы глаз» не особенно то и смотрят, как показывает практика...

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Скажем так: в качестве дополнительной пары глаз я сам использую нейросетки интенсивно. Периодически они отлавливают за мной ошибки. Но прямо сейчас я тупо весь день провёл выискивая и исправляю ошибку, которую сама же нейросеть и сделала.

byko3y ★★★★★
()
Ответ на: комментарий от Camel

Есть подозрение, что вал обнаруженных уязвимостей связан с прогрессом невросетей. Люди не нашли, анализаторы не нашли, невронки нашли.

Само собой. Но суть же в том, что с открытым кодом это возможно в принципе.

Так о чём я. Многие полагали, что качество опенсорсного кода выше, потому что на него смотрит миллион глаз. А оказалось, что миллион глаз не очень-то и смотрит, а толк есть от просмотра невроночным глазом, а он болей-лимений один и тот же доступен всем, и опенсорсникам, и проприетарщикам.

Так а закон Линуса гласит о том, что количество ошибок уменьшается, но не становится равным нулю. И лишь при бесконечном количестве глаз и времени оно стремится к нулю.

urxvt ★★★★★
()
Ответ на: комментарий от urxvt

Само собой. Но суть же в том, что с открытым кодом это возможно в принципе.

А в закрытом коде почему невозможно? Он же не для всех закрытый. Разработчики Microsoft’а и Oracle вполне могут использовать те же инструменты.

Camel ★★★★★
() автор топика
Ответ на: комментарий от Camel

А в закрытом коде почему невозможно? Он же не для всех закрытый. Разработчики Microsoft’а и Oracle вполне могут использовать те же инструменты.

Так суть же закона в том, что количество глаз смотрящих на СПО ограничено лиш населением Земли, а на код Микрософт лишь отделом, у которого есть права на чтение этого куска кода. Даже далеко не вся контора его глянуть может.

urxvt ★★★★★
()
Ответ на: комментарий от Camel

Кстати о теории миллиона глаз, которые смотрят на опенсорсный код

…в то время, как миллард шоколадных глаз его производят.

Это неравная битва.

thesis ★★★★★
()
Ответ на: комментарий от byko3y

Да нет конечно, но щя как-то кучно пошло

MrClon ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)