Сканер уязвимостей Nessus закрывает свой исходный код

> Именно RH не стоит это говорить.. через сколько дней появляются
> обновления src.rpm на http://updates.redhat.com (и в клонах) по
> сравнению с RHN? По моим наблюдениям порядка недели-2х. То есть 2
> недели пользователи клонов бессильны перед багами закрытыми в RH EL.

А вот это неправда. Обновления появляются сразу же! Может только несколько часов задержка, т.к. пакет нужно собрать и протестировать для клона. Это можно легко проверить:
https://rhn.redhat.com/errata/rhel4es-errata.html
http://lists.centos.org/pipermail/centos-announce/2005-October/thread.html


Да и сами подумайте -- по лицензии GPL исходный код должен быть предоставлен по первому требованию.

А клоны RedHat Enterprice появились только потому, что есть ftp://updates.redhat.com. SuSe, например, не выкладывает исходники своего Enterprice дистрибутива. Но это легко обойти: достаточно кому-то одному приобрести их дистрибутив, как будут доступны и исходники.

и так по порядку (обратному постам), зато на все сразу:

>попытки просить деньги _за_уже_написанный_и_отданный_код_

никакой связи с GPL, по которой продавец обязан предоставить исходные плоды чужого труда покупателю а не замечания по ценообразованию или разделению выплат.

>да. пусть скорее пожрет продавцов воздуха. они все равно не нужны

не сожрет. Желания торговать старо как мир, но подходы сместятся в сторону "немассовых" решений, сократив объем суперприбылей от конвейера (спасибо дедушке Форду и дяде Гейтсу - ничего личного).

>Лицензия с явно коммунистическим уклоном

в данном контексте понятие народ, есть вполне ограниченный поименный список действительно достойных хозяев проекта, причем далеко не все патчи принимаются

>Кому из присутствующих здесь нужны исходники Nessus?

инструмент контроля безопасности есть критический продукт, требующий абсолютной стабильности и не содержащий закладок. Такого класса продукты недостойны бинарного распространения в принципе, однако наш мир не идеален и не беспокоится о безопасности, рассчитывая на страховку никто не запрещает, однако мало кто имел опыт компенсации страхового случая

>через сколько дней появляются обновления src.rpm

GPL не определяет мгновенность сроков поставки исходного кода клиенту. По сути обновления вообще могут не подпадать под факт продажи, поскольку есть подписной сервис приравненный к общению по телефону, скорее обновления есть "акт доброй воли" компании, желающей удержать своих клиентов

>GPL и деньги - это две очень трудносовместимые вещи

довольно много уже продуктов содержат код GPL, например продукты LINKSYS, SHARP, PHILIPS, Texas Instruments, компании поставляют исходники, но ТОЛЬКО своим покупателям, как и положено в GPL. Далее 2-3 варианта: 1. мод выпущенный одним из покупателей становится популярным и либо компания нанимает разработчика к себе либо выкупает право на его мод. 2. развивается параллельная ветвь в некоторых случаях не бесплатная, но доступная в исходниках после приобретения.

>но только если можно будет подмазаться

иногда "подмазавшийся" разработчик влияет на качество/стабильность кода больше, чем предыдущая команда. Такое "подмазывание" к проекту экономит много часов/дней. Каждому достается свой пряник под GPL: одному доходы с продаж, другому популярность и приглашение на позицию с хорошим окладом.

> Очень хорошо по этому поводу высказалась Dana Epp

комментарий действительно интересный и правильный.

>> через сколько дней появляются обновления src.rpm

> GPL не определяет мгновенность сроков поставки исходного кода
> клиенту.

Это так, но реально искусственно сдерживать поставку исходных кодов в массовом порядке не получится. Или получится до первого суда. В RedHat же не дураки сидят. Они знали про клоны ещё до того, как они появились. Но ничего сделать с этим не могут, т.к. GPL. И мелочиться и строить бизнес на сдерживании исходников тоже никто не будет.

> По сути обновления вообще могут не подпадать под факт
> продажи, поскольку есть подписной сервис приравненный к общению по
> телефону, скорее обновления есть "акт доброй воли" компании, желающей
> удержать своих клиентов

А вот тут вы неправы. Есть GPL и там всё сказано: если вы поставляете продукт под GPL (в том числе и обновление идёт под этой лицензией), то и исходник тоже дожен предоставляться.

Вообще, я так понимаю, что тот пункт в GPL, в котором говорится о том, что исходники можно сразу и не предоставлять, а можно только по требованию, был сделан только для того, чтобы не заставлять писать, на недёвые в то время насители, дополнительную, возможно, и ненужную информацию.

Понимаешь верно, только выражаешь не очень. Автор _НЕ_ теряет право контролировать распространение своего кода. Он _ПРЕДОСТАВЛЯЕТ_ пользователю право распространять и использовать код под этой же, и только под этой лицензией. И вполне может отказать в использовании пользователю, который эту лицензию нарушает. А в целом да, автор предоставляет пользователю исходник вместе с правом копировать, распространять и изменять исходник, и отозвать это право может только в том случае, если лицензия была нарушена. Он вполне может потребовать плату при передаче исходного текста. Но после этого - уже нет.

В данном случае, насколько я понял, Дерезон бъет себя в грудь и кричит, что разрешение всех соучастников на изменение лицензии получено.

> Понимаешь верно, только выражаешь не очень.

Ну, с диссером я совсем по-русски говорить разучусь :-)))

> В данном случае, насколько я понял, Дерезон бъет себя в грудь и кричит, что разрешение всех соучастников на изменение лицензии получено.

А вот в последнем не уверен. Прочел http://mail.nessus.org/pipermail/nessus-announce/2005-October.txt Но там ничего подобного нет. Впрочем, читал не очень внимательно.

>> Очень хорошо по этому поводу высказалась Dana Epp

> комментарий действительно интересный и правильный.

+1

Для меня в open source проекте как раз важно, чтобы было "give and take". GPL это только позволяет делать, но не обязывает.

>искусственно сдерживать поставку исходных кодов

комментарий был касательно 2х недельной задержки появления исходников, потому

>то и исходник тоже дожен предоставляться.

о моем комментарии напутаны причина и следствие, апдейтов просто может и не быть, а уж тем более никто не обязан их устанавливать. Однако что предпочтет клиент: получить обновление немедленно и его исходники через месяц-два или ждать этот месяц до появления и того и другого одновременно? - думаю ответ известен и именно потому GPL не опреляет жестких сроков предоставления исходников, только сам факт обязательства. Сама подписка на поддержку обозначает контрактное действие "обновление" но не уточняет ни сроки ни содержимое - вот в чем "акт доброй воли" - в наличии обновлений как таковых.

> Сама подписка на поддержку обозначает контрактное действие
> "обновление" но не уточняет ни сроки ни содержимое - вот в чем "акт
> доброй воли" - в наличии обновлений как таковых.

Чисто логически тут не поспоришь. Но реально, если я нанял рабочих делать себе ремонт в квартире (контрактное действие), то это, конечно, их дело насколько качественно работать ("акт доброй воли"). Но больше недели они у меня не проработают, если их "акт доброй воли" не будет соответствовать моим (а так же общепринятым) нормам.

Поэтому предоставление исходников -- это не "акт доброй воли", а вынужденная необходимость для тех, кто распространяет свои продукты под GPL.

тенденция, однако (с) Чукча про оленей

>Но больше недели они у меня не проработают

:-) ну это-же очевидно, ведь вы уже заплатили этим самым рабочим за год/90 дней/т.п. - удобное подставить (взять из соглашения из коробки/с сайта). Далее уже не имеет значения сколько они проработают у вас. :-). Далее как сами вы надеюсь понимаете эти самые "рабочие" будут работать на вас исключительно по доброй воле.

>А вот в последнем не уверен.

Дальше по рассылке почитай, там тоже флейм стоит на эту тему.

http://mail.nessus.org/pipermail/nessus/2005-October/msg00050.html

> А автор будет в выгрыше потому как два ведущих продукта в данном сегменте будут под брендом Nessus

fork Nessus 2 не обязан иметь имя Nessus (мозги иногда надо включать)

>автор предоставляет пользователю исходник вместе с правом копировать, распространять и изменять исходник, и отозвать это право может только в том случае, если лицензия была нарушена.

бред ни на чём не основанный. автор ничего не может отозвать.

>з.ы. Ждем ответного шага - октрытия серцов xpider 6

А что это за такой мифический продукт икс-пидер???

Давай без сказок.. http://updates.redhat.com/enterprise/4AS/en/os/SRPMS/kernel-2.6.9-22.EL.src.rpm kernel-2.6.9-22.EL.src.rpm 26-Sep-2005 17:51 40M А появилась когда?.. могу тебе сказать точно что прочитав анонс Тема: [SA17073] Red Hat update for kernel Дата: Wed, 5 Oct 2005 19:52:27 +0200 полез на updates - этого файла там не было.. Я слегка обидевшись пошел в RHN - и спокойно скачал оттуда.. Сам файл появился по этому url примерно 6\7-го. Подобное поведение было замечено и с EL3 веткой.

Ага, закроет. Съест то он съест, да кто ж ему дасть? Внимательно учим матчасть, всем читать GPL 12 раз, а потом еще 6.

> Вообще, я так понимаю, что тот пункт в GPL, в котором говорится о том, что исходники можно сразу и не предоставлять, а можно только по требованию, был сделан только для того, чтобы не заставлять писать, на недёвые в то время насители, дополнительную, возможно, и ненужную информацию.

А это откуда следует? Нет уж, написано то, что написано, не более, но и не менее. А написано, что исходники должны быть доступны [по требованию] купившего в течение трех лет на машинно-понимаемом носителе по цене носителе + разумных плат создающему этот носитель.

Форк под GPL безусловно будет, это вопрос времени. Слишком уж хорош продукт и слишком многим он нужен, и во многом это заслуга сообщества.. А достойные люди вокруг неGPL продуктов, как показывает практика, собираются не слишком часто. Аффтор зря затеял все это. Вместо благодарности и помощи сообщества он теперь получит кучу упреков. Я лично останусь на второй версии.

Так то оно так, но только вот

1) Вклад "Сообщества" в разработку Nessus настолько мизерен, что просто курам насмех. Практически всё написано самим Renaud Deraison.

2) Это самое "Сообщество" берет исходники Nessus и торгует под своими торговыми именами создавая конкуренцию компании в которой работает автор.

P.S. Вполне ожидаю некоторой полемики насчет употребления термина "Сообщество" но и не зря его взял в кавычки, понимая, что от аффтара к аффтару понятие это меняется.

P.P.S. Хочу заметить яростным поклонникам GPL как некоего инструмента исключения денег как зла. Компания Tenable Network Security, которую организовал Renaud Deraison - это место в котором работает не один человек. То есть вдумайтесь, созданы рабочие места. Зарплата которую они получают, облагается налогом. Налоги которые платятся идут на поддержку всевозможных социальных благ, как то - пенсии, муниципальное строительство. Так же, у сотрудников этой компании есть медицинская страховка. Напрягите немного свой межушный нерв, и подумайте - а так ли плохи деньги как вы считаете. Или придумайте им какую либо замену. Нобелевская премия по экономике вам тогда гарантированна.

>автор предоставляет пользователю исходник вместе с правом копировать, распространять и изменять исходник, и отозвать это право может только в том случае, если лицензия была нарушена.

>бред ни на чём не основанный. автор ничего не может отозвать.

Не тупи. GPL п.4.

>Вклад "Сообщества" в разработку Nessus настолько мизерен, что просто курам насмех.

Там десятком постов выше была ссылочка на человека, который пробовал сделать свой вклад в. Сходи почитай. У нее ничего не получилось, и она пишет, почему.

>Это самое "Сообщество" берет исходники Nessus и торгует под своими торговыми именами создавая конкуренцию компании в которой работает автор.

Хм, что-то Дерезон был на удивление неконкретен в этом пункте. Совершенно непонятно, с чем он тут пытается бороться. Если "конкуренты" улучшают код и не открывают его под GPL, это нарушение лицензии, за которое можно и нужно привлекать к ответственности. Что FSF и старается по мере сил делать - и, думаю, с удовольствием бы занялось, если бы Дерезон обратился за помощью.

А если конкуренты просто продают Nessus, _НЕ_ нарушая при этом GPL, то тогда непонятно, что не устраивало автора. Тогда это напоминает песочницу - забрал мячик, ушел домой. Отказаться от GPL в новых версиях - его святое право, но я не понимаю, ради чего он вообще открывал код именно под GPL, если не понимал, на каких основаниях будут распространяться исходники.

>> 1) Кому нужна независимость от сборок производителя, кроме гентушников?

>мне

зачем?

Твой ответ опять же показателен и подтверждает общую тенденцию:
1) из нескольких тысяч ЛОРовцев исходники нужны только одному (двум, единицам);
2) исходники нужны только для изучения алгоритмов (получения данных для кандидатской).

Давай не будем хамить, а? Где твои патчи? Человечеству не известна ни одна стоящая строчка кода, опубликованная анонимусом. И заметь, еще: я твоей свободы ничем не ограничивал.

Извините, но перестаньте валять дурака.

Вы, видимо, очень молоды, раз не знаете, что некоторые вещи должны существовать, хотя ими мало кто пользуется. Если мало пользуются - это не значит, что это не нужно. Это значит, что лишь немногие умеют это делать.

Ученых в мире тоже мало, но _критически_важно_, чтобы существовали их сообщества, где информацией можно обмениваться. Так и здесь. База открытого кода - это опыт тысяч людей, проб и ошибок, открытий и прозрений. В отсутствии этой базы каждый вынужден изобретать собственный велосипед. И перестаньте приводить в пример массовость. По Вашей логике никакая класиическая музыка не имеет права на существование, поскольку у попсы неизмеримо более высокая популярность.

Судя по Вашим постам - "очень молоды" как раз Вы. Я не собираюсь спорить с Вами, отстаивая позицию, выдуманную вашим воображением. Прошу всего лишь обратить внимание, что я указал на практическую ненужность для лиц, посещающих ЛОР, исходников Nessus 3. Право автора _не открывать_ (а не закрывать) исходные тексты _своей_ разработки обсуждать здесь бессмысленно - данное решение сугубо его прерогатива.

Хотите что-то добавить?

P.S. Прошу прощения, что опустился до обсуждения вашего возраста.

>Прошу всего лишь обратить внимание, что я указал на практическую ненужность для лиц, посещающих ЛОР, исходников Nessus 3.

Если на твои вопросы никто не отвечает, это не значит, что кругом никого нет - возможно, с тобой просто не хотят разговаривать :)

Взять любого анонимуса с ЛОРа, - так он обязательно окажется литературным потомком Козьмы Пруткова... :-)

>>бред ни на чём не основанный. автор ничего не может отозвать.

>Не тупи. GPL п.4.

Бред он и есть бред. АВТОР НЕ можен ничего отозвать! Лишается правa использования НАРУШИВШИЙ! Автор вообще не причем. Там написано что автор добровольно отказывается от [части] своих прав.GPL защищает продукт от воровства а не АВТОРА от нарушения прав

Да, пожалуй только одно.

Не стоит быть столь высокомерным, утверждая, что

> практическую ненужность для лиц, посещающих ЛОР, исходников Nessus 3.

Здесь есть и вполне серьезные люди.

За сим кланяюсь, приятно было поддержать содержательную беседу.

Ну и где логическая связь между наличием серьезных людей и необходимостью их в исходниках Nessus 3? Если Вы серьезно ознакомились с данной новостью, то Вы знаете, что автор не открывает исходные тексты следующей версии по двум причинам:
1) наличия коммерческих продуктов, построенных на основе Nessus-а (с минимальными косметическими правками);
2) отсутствием поддержки со стороны community (за 6 последних лет весь код фактически писал сам автор).

ipfilter, например, коммерческие продукты, использующие его код, почему-то не заставляют закрывать исходники. Больше того, если производитель нарушает GPL, авторы ipfilter дают им по голове. Странно, с чего бы это?

И про коммерцию и про комьюнити тут уже сто раз повторилось, не хочешь замечать очевидное - твое дело.

Анонимус, я ничего не понял. Напиши внятно, - что ты хотел сказать?

А то, что Вам _минимум_ два человека сказало, что им нужны исходники, ни о чем, стало быть, не говорит? Они даже указали зачем. Допустим, не самого Нессуса, хотя я уверен, что _сканеру_безопасности_ просто необходимо быть открытым.

А что побудило автора закрывать исходники - ведомо одному автору. Ибо приведенные причины выглядят, хм, не слишком убедительно...

Вообще-то, - мне только двое ответили (ровно), что им нужны исходники - можете перечитать заново тред. Причем, одним из этих двоих были Вы, но обосновали это общими фразами, которые подошли бы скорее менеджеру, а не системному администратору, каковым Вы вроде бы являетесь. Из Ваших слов, кстати, можно сделать вывод, что исходники Вам не нужны совершенно. И очень странно на фоне всего сказанного Вами выглядят Ваши слова "допустим, не самого Нессуса..." и "_Они_ даже указали зачем".

И скажите мне все таки еще раз: зачем Вам все-таки исходные тексты сканера безопасности Нессус? Что - Вы сможете провести аудит кода? Позвольте мне засомневаться. А может быть Вы не знаете, что Нессус тестирует удаленные компьютеры и можно провести лог всех его действий без какого-либо дебаггера (tcpdump Вам в руки)?

Относительно причины не открытия исходников: погуглите и обрящете. Указанные мной причины - это официально высказанная автором причина того, что исходные тексты Нессуса 3 не будут доступны. Если Вас не устраивает версия автора Нессус, можете продолжать заниматься домыслами.

P.S. Прошу Вас: отвечая, отвечайте от своего имени, ладно? И не надо сыпать общими фразами.

Извините, Вы тоже изволили говорить что-то вроде "да на ЛОРе никому исходники не нужны". Я Вам ответил, что мне нужны. Свежайший пример. Я сижу на FC2. И есть такой пакет - gnuplot. Но производитель дистрибутива не удосужился собрать свежую версию под "старую систему". Что ж мне, теперь из-за каждого чиха систему обновлять, которая работает и работает хорошо? Я беру сырцовый пакет от FC3 и спокойно компиляю, настраивая все, что мне нужно и/или интересно. Нужны исходники? Да. Но я не хочу превращать систему в помойку, ставя все из tar.gz. Осмысленное желание, не находите? Никакого фанатизма.

Я не системный администратор в обычном понимании. У меня парк машин (маленький, всего 7 штук) для расчетов. И кое для чего я действительно могу провести аудит исходников, нет, не на предмет уязвимостей, а на предмет настройки параметров программ, ибо авторы (они ученые, а не программисты), пользуют Фортран, причем 77, и многие структуры имеют статические размеры...

Исходники Нессуса мне не нужны - я им не пользовался. Но спор, если я правильно понял, шел о том, что наличие исходников _желательно_ для любой программы, это увеличивает ее коммерческую привлекательность. А уж тем более, для сканера безопасности. Да, я знаю, что можно провести анализ логов tcpdump, а также strace. Ну сделал это все я, а дальше-то что?

думаю всё правильно .. нужно кончать с этим колхозом

Рад, что Вы признались, что исходники Нессуса Вам не нужны. Дальнейший спор считаю бессмысленным. Удачи!

Знаете, позиция "моя хата с краю" мне кажется неумной и недальновидной. И Вам всего хорошего!

> позиция "моя хата с краю" мне кажется

моя тоже с краю. Зато офис в центре.

> ipfilter, например, коммерческие продукты, использующие его код, почему-то не заставляют закрывать исходники.

Какой такой ipfilter? Вот этот, что-ли? http://www.obfuscation.org/ipf/

Там же лицензия того... http://www.phildev.net/ipf/IPFgen.html#gen6 и еще http://www.freebsd.org/cgi/cvsweb.cgi/src/contrib/ipfilter/LICENCE . Его за ето и выкинули из OpenBSD, кстати...