Именно поэтому я до сих пор сижу на Squeeze. Добавь тег «решето».

В оригинальном сообщении:

Reporting 1.2K crashes

Всё-таки crash - это ошибка, приводящая к падению, а не уязвимость.

Reporting 1.2K crashes

Вот поэтому вменяемые люди пользуются арчем.

Ошибки были найдены с помощью Mayhem

Мyehem'ом были проверены

Ошибка?

Всё-таки crash - это ошибка, приводящая к падению, а не уязвимость.

Нет, это тоже уязвимость.

Вот поэтому вменяемые люди пользуются арчем.

Потому что пакеты арча никто не проверяет на уязвимости?

Зато штабильно!

решето ?
кто там говорил, что в новых пакетах их больше ?

Именно поэтому я до сих пор сижу на Squeeze.

С чего ты взял, что там с этим лучше?

необработанном исключении

Но разве каждое необработанное исключение - это дыра безопасности? Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

Прикол. Мне б хотя бы 5 из них. Самых опасных.

кто там говорил, что в новых пакетах их больше ?

а что по ссылке есть статистика по sid?

Может и мне скрипт с LD_PRELOAD написать, я так еще больше багов найду.

«Качественный» open source.

вот вам и фирменная «стабильность»

Фигня.

Именно поэтому я до сих пор сижу на Squeeze.

Вот поэтому вменяемые люди пользуются арчем.

Перекличка птиц-наивняков открыта.

В стотыщпервый раз скажу, что народ неправильно понимает «стабильность» дебиана. Это не отсутствие проблем, а замороженность API и ABI. Т.е. таким образом Дебиан пытается получить ту самую неюниксвэйную платформу, необходимость в которой (в разное время) поняли все крупные игроки OSS - Red Hat, Google, IBM, даже Canonical, различные BSD.

Кстати, пока одни делают платформу, в это-же время маргиналы повторяют друг за другом, что главное, это выбор из двух и более кандидатов, а также рассказывают басни, что мифическому «простому юзеру» постоянно нужно что-то ставить из master/trunk, для чего ему жизненно необходим новый форма пакетов без зависимостей.

я про другие дистры
про арч например

Невызываемое исключение.

Но разве каждое необработанное исключение - это дыра безопасности? Тем более что многие вместо того что бы писать обработку исключения при отсутствии файла, пишут проверку наличия файла перед обращением к нему.

Удваиваю вопрос. Почему они решили, что во время работы ПО обязательно вызываются все исключения?

Вот поэтому вменяемые люди пользуются арчем.

Разумеется, указанные 1200 ошибок были добавлена мейтейнерами debian-а, а в других дистрибутивах ошибки не ищут ничего подобного нет.

Любимое развлечение писателей автоматических проверялок кода — проверять своими поделиями опенсорсный код и пугать всех страшными цифрами.

Вот потому-то лучше сидеть на ubuntu, не то что ваш глючный дебиан.

а в других дистрибутивах ничего подобного нет.

В других дистрибутивах это ПО могло уже сменить десяток версий, в которых эти ошибки были исправлены и добавлены новые.

Вот потому-то лучше сидеть на ubuntu.

Патамушта ее не проверяют. А то, что быги не будут исправлены до следующей синхронизации с Дебианом... всё равно Убунта лучше!!!1

Разумеется, указанные 1200 ошибок были добавлена мейтейнерами debian-а, а в других дистрибутивах ошибки не ищут ничего подобного нет.

В арче софт обновляется оперативней, а значит дырки и баги закрываются быстрее. Плюс там меньше шансов нарваться на дистроспецифичный баг из-за мейнтейнерских патчей,

Это не отсутствие проблем, а замороженность API и ABI. Т.е. таким образом Дебиан пытается получить ту самую неюниксвэйную платформу

Без возможности к тому же ставить новый софт - не нужно, т.е. логично делать отдельную песочницу для нового софта. Иначе только RR помогает.

Конечно, ubuntu - совсем другое дело)

Новость вообще не содержит никакого сравнения с debian-а с каким-то другим дистрибутивом. Тот, кто сделал на основе этих данных какой-то вывод по поводу того, что дебиан хуже или лучше, чем арч или какой-то другой дистрибутив, фанатик и неадекват. </thead>

Mayhem и в самом деле страшненький - он генерит на каждую найденную уязвимость работающий эксплойт (если авторы не лгут). 1200 эксплойтов - это страшно.

Сито!

Нормально

Это абсолютно нормально. Просто они не смотрели сколько crash в пакетах других дистрибутивов. Я думаю их на порядок больше. Стабильность в ПО есть явление относительное. Стабильное API/ABI, пакеты относительно других дистрибутивов.

Новость вообще не содержит никакого сравнения

Но своя-то голова у нас есть!

Кстати говоря, если эта утилита проверяет бинарные файлы, реквестирую проверку файлов винды.

Кстати говоря, если эта утилита проверяет бинарные файлы, реквестирую проверку файлов винды.

[fat]У них не хватит дискового пространства, чтобы все отчёты об ошибках сохранить[/fat]

Но своя-то голова у нас есть!

Если ты считаешь, что можно сравнить два дистрибутива на основании данных проверки одного из них, у меня для тебя плохие новости.

Но вспомнив свою последнюю писанину, я подумал о том что не сделал процедуру проверки прав доступа перед каждым обращением к файлу. Хотя все файлы данных создаются исключительно самой программой и хранятся в домашнем каталоге. Стоит ли писать обработку исключений?

1200? Выкиньте свой сканер, думаю на самом деле их на три порядка больше

кто там говорил, что в новых пакетах их больше ?

А кто говорил, что меньше?

Нет, это тоже уязвимость.

Уязвимостью пользуются мошенники для извлечения выгоды (напрм. украсть учетку). А это ошибка, максимум что она может-спровоцировать падение (хотя может быть полезно для убивания серваков конкурентов)

Это для предприятий, использующих кастомный и, как правило, самописный софт в техпроцессе, так что засунь свое ненужно себе в ненужно.

Кстати, если посмотреть список, то там с четверть (на глаз, не считал) уязвимых приложений — игры, bsnes, billard-gl и т.д. и т.п.

Mayhem

Ты кончаешь, создавая идиотские теги?

Вот потому-то лучше сидеть на ubuntu, не то что ваш глючный дебиан.

Давай, расскажи нам, как крутые мейнтейнеры убунты пишут патчи, а дебианщики курят в сторонке. OH SHI—.

бугога, и эти люди потом смеют говорить и «стабильности»

Куда идти? Я так понимаю ситуация в генте еще хуже...

Уязвимостью пользуются мошенники для извлечения выгоды (напрм. украсть учетку). А это ошибка, максимум что она может-спровоцировать падение (хотя может быть полезно для убивания серваков конкурентов)

Уязвимость это уязвимость. Посмотри значение слова в словаре что ли. Вот ты уязвим. Но вот если бы в тебя стреляли из пулемёта, а тебе всё ни по чём, ты был бы неуязвим.

Да и вообще, неоднократно встречал использование выражения security issue в отношении любых багов, вызывающих креш, а не только к дырам.

Наверняка все баги в оставшихся 25%.. просто мантейнеры проверили, сказали годно и взяли)

бугога, и эти люди потом смеют говорить и «стабильности»

Интересно, они серьезно или просто так тупо тролят?

Проприетарщина не крашится, конечно же.