Технический совет организации Linux Foundation опубликовал сводный отчёт с разбором инцидента, связанного с попыткой исследователей из Университета Миннесоты продвижения в ядро патчей, содержащих скрытые уязвимости. Разработчики ядра подтвердили ранее опубликованную информацию о том, что все из 4 отправленных патчей с уязвимостями были сразу отвергнуты на стадии рецензирования и не попали в репозиторий ядра...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55095
Мда... миллионы глаз опенсорса оказались снова всего лишь шоколадными глазами...Исследователям из университета респект - ушёл с линукса.
ps Ушёл на FreeBSD.
там ты еще быстрее ощутишь свою неполноценность
Надеюсь, что на таких как вы, сосулька упадёт в середине июля и вы все уедете на*:%№ в чистое поле с палатками. Навсегда. Чтобы избавить нас от таких УНИКАЛЬНЫХ очерков судьбы и комментариев в целом. Ничего личного, банальное отторжение.
"в чистое поле с палатками"
Ахаха, я тут живу
Так а где гарантии, что на FreeBSD такого не может случиться? Или там каждый коммит активно анализируют?
Туда просто никто не коммитит, максимальный уровень безопасности.
> Так а где гарантии, что на FreeBSD такого не может случиться? Или
> там каждый коммит активно анализируют?Нет никакой после истории с написанием наскоро кода Wireguard уголовником без какого-либо аудита со стороны мейнтейнера.
Тебя "с линукса" и не было.
мая вас не понимать... что с линукса и не было?
Спасибо, держите нас в курсе. Вас будет очень нехватать в сообществе, где вы имели нулевой полезный вклад.
> Мда... миллионы глаз опенсорса оказались снова всего лишь шоколадными глазами...Потому что не пропустили вредоносные коммиты? А что, надо было пропустить?
Я не понимаю, почему у всех так взбомбило? Ну простебали немного недостатки рецензирования кода отдельного проекта в соответствии с академическими правилами и что с этого? Наивные теперь будут знать, что реалисты и до этого знали — всё держится на одном честном слове, на честном слове зачастую даже одного человека, более того, не всегда даже адекватного. И это не одного Linux'а проблема. Во FreeBSD вон сменивший имя осужденный неадекват целый bulk непроверенного кода закоммитил.
косичка и бородка добавит в этот топик пикантности
Это не косичка, а лягушка. Как в логотипе телекомпании ВИD.
А причем здесь аватарка коментатора?
> А причем здесь аватарка коментатора?А у некоторых даже от авы бомбит. То волосы у человека сильно длинные, то одежда не того фасона — натуральные гамадрилы из каменного века. И эти люди ещё претендуют на звание "интеллектуальная элита" 😄
Когда это анонимы претендовали на звание элиты??
К чести разработчиков и гордости линукса, выявили и достаточно чётко отреагировали. Кажется всё гуд.
> К чести разработчиков и гордости линукса, выявили и достаточно чётко отреагировали. Кажется
> всё гуд.Мы об этом знаем только из-за того, что они сами об этом заявили, а не из-за "чести разработчиков и гордости линукса".
> весь скандал начался из-за отловленного рецензентом уязвимого патча и громких писем Грега
> Мы об этом знаем только из-за того, что они сами об этом заявили, а не из-за "чести разработчиков и гордости линукса".Мде.
> Мде.Работа, вызвавшая апрельское бомбалео у разработчиков, опубликована десятым февралём...
Пруф: https://raw.githubusercontent.com/QiushiWu/qiushiwu.github.i...
> Работа, вызвавшая апрельское бомбалео у разработчиков, выложена пдф'кой десятым февралём......И нигде не опубликована...
В каком журнале была публикация?
Где письма Линусу сомейнтейнеры?
Одни вопросы - нет ответов.
> ...И нигде не опубликована...Она на github публично там валяется с февраля. А вообще Acknowledgment прочитай.
Не в курсе что ли этой истории? Всё всплыло, когда какой то индус из этого ВУЗа прислал код с бессмысленными инструкциями. Когда код отклонили, он ещё и пальцы начал гнуть: "а чо это вы такие не дружелюбные и говнокд называете говнокодом?"
А ну да, в момент отвергания их патчей они уже громко заявили, ага.
Вопросы этичности. Ядро Linux - не игрушка, а сообщество разработки - не объект для исследований. Если требуется социологическое исследование - требуется и согласие испытуемого на подобного рода исследование. Представители очень по краю прошли, еще бы чуть-чуть - и схлопотали не только от Linux, но и от научного сообщества.
> не объект для исследованийА судьи кто? Кто определяет, что можно исследовать, а что нельзя?
До этого исследования было много хвастовства. Сейчас все видят, что code review где-то на уровне ниже плинтуса. а в академической среде текст исследования уже активно цитируется профессурой. То, что безопасность линукса была помножена на ноль - нестрашно. Важно то, что это стало достоянием общественности. То бишь нас с вами.
Где ты вычитал, что ниже плинтуса? Эти ребята хвастаются в документе, что смогли протолкнуть патчи с уязвимостями, а на деле патчи были отклонены. Сейчас этот текст будет цитироваться в свете того, как нельзя проводить социологические исследования. И престижу университета нанесен очевидный репутационный урон, иначе бы они бы не начали так суетиться.Ребята хотели прикинуться белошляпами, а на деле нифига.
лол, конечно патчи были патчи отклонены, ведь исследователи сами о них сообщили в рассылке мантайнерам, сразу после того, как патчи приняли. вот пруф - https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/
они же не бандиты и не злоумышленники, что закладки внедрять незаметно
а если бы не сообщили майнтайнерам - всё бы прошло
так что исследование удалось...
что-то в пруфе не видно ни как они сообщают, ни как просят откатить. Зато видно, что Leon Romanovsky пояснил, что за кипиш происходит.ну и конкретно к патчу из пруфа — там несколько человек включая Грега написали, что патч ничего не исправляет. Как это они его приняли?
> в рассылке мантайнерам, сразу после того, как патчи приняли. вот пруф
> - https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/Никакой это ни пруф, а просто кто-то что-то неподумав ляпнул сгоряча без предоставления каких-либо доказательств. Пруфы ниже. Все патчи развернули сразу сами мэйнтейнеры, а исследователи сели в лужу, написав, что патчи отозвали после того как они предупредили о наличии багов, по переписке это хорошо видно.
Patch 1
https://lore.kernel.org/lkml/20200821031209.21279-1-acostag....This change was accepted into the kernel repository, after a review by
the subsystem maintainer, and showed up in the kernel repository as. This change was valid. The author's attempt to create an invalid change
failed as they did not understand how the PCI driver model worked within
the kernel.Patch 2
https://lore.kernel.org/lkml/20200809221453.10235-1-jameslou...The maintainers quickly recognized that this change was invalid, and
rejected it.Patch 3
https://lore.kernel.org/lkml/20200821034458.22472-1-acostag....This patch was quickly recognized by a reviewer to be incorrect, and the
reviewer offered up possible changes that the submitter could make in
order to turn it into a correct change.
Patch 4
https://lore.kernel.org/lkml/20200821070537.30317-1-jameslou...This patch was reviewed by the maintainer of the driver, found to be
incorrect, and suggestions were made as to what could be done instead to
make the change in a correct manner. The submitter did respond, saying
that their original attempt was incorrect, and apologized for bothering
the developers.Patch 5
https://lore.kernel.org/lkml/20200804183650.4024-1-jamesloui...According to the researchers, this patch was submitted as an independent
patch and not part of the "Hypocrite" research, attempting a legitimate
fix.
>> Также были проанализированы 435 коммитов,
>> В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях.
> а на деле патчи были отклонены.*рукалицо*
>> не объект для исследований
> А судьи кто? Кто определяет, что можно исследовать, а что нельзя?Зарегистрируйтесь, пожалуйста, потыкаем в Вас палочкой. В научных целях.
Судить имеют право только участники SJW
> Кто определяет, что можно исследовать, а что нельзя?1) грантодатели. на то, что нельзя исследовать, грантов не дают.
2) спец.комиссии по биоэтике.
Ну на это есть здравый смысл обычно от него многие законы пляшут.
> А судьи кто? Кто определяет, что можно исследовать, а что нельзя?Если этика не нужна, тогда и приходите к студентам меда добровольцем, на сессию вивисекции, экспонатом.
> Вопросы этичности. Ядро Linux - не игрушка, а сообщество разработки - не
> объект для исследований. Если требуется социологическое исследование - требуется и согласие
> испытуемого на подобного рода исследование. Представители очень по краю прошли, еще
> бы чуть-чуть - и схлопотали не только от Linux, но и
> от научного сообщества.Кто сказал, что тебя нельзя исследовать? Наоборот, нужно!
Таких надо скорее обследовать уже
Его надо в поликлинику сдать для опытов.
> Ядро Linux - не игрушка...Оно начиналось именно как игрушка и никаких гарантий не даёт кроме честного слова о сохранении имени оригинального автора и условий несокрытия производных работ под несвободной лицензией.
Отвлечённый вопрос, Зумвалты таки на Линуксе или нет?
Ну, то есть ты даже не раздупляешь про условия GPL.
И кому и что ты тут хочешь рассказать?
Володя втащи этому пи-у!
Коммунисты тоже так думали, поэтому отвергали конструктивные исследования и критику, и, в итоге, слили дядюшке сэму ссср, на который многие родившиеся после, до сих пор фапают.
Для спецслужб - игрушка.
А если спецслужбам можно, и благодаря сноудену и не только все об этом знают, то почему и студентам нельзя?Самое главное в этом всем то, что студенты вс крыли методику работы спецслужб, отч его у всеех участников и подгорело.
Небось "ревьюверы" денежку получают от кого нужно(да там половина штатные трансгендеры из редхета), а тут оказывается можно бесплатно без ксивы проталкивать какашки.
Что этот эксперимент показал, так это то, какие серьезные прошаренные опытные КЛОУНЫ контролируют разработку линукса.
>Я не понимаю, почему у всех так взбомбило?так все таки бомбануло? а какая реакция должна быть, когда вам же намекают на вашу же некомпетентность?
>>Я не понимаю, почему у всех так взбомбило?
> так все таки бомбануло? а какая реакция должна быть, когда вам же
> намекают на вашу же некомпетентность?Вступайте и отправляйте патчи на электропочту ко-фаундеру! В МЕСТЕ МЫ СИЛА! (С)
> В МЕСТЕ МЫ СИЛА! (С)И с нами Бог! :)
С вами баг...
Капсом написан мем, широко известный в узких кругах лет 15 назад http://lurkmore.to/BHCА поскольку Вы обещали, но так и не ответили Ordu на его портянку по теории игр, попробуйте симулятор https://notdotteam.github.io/trust/
>Капсом написан мем,Бог тоже мем, если че, там смайлик в конце стоит.
> А поскольку Вы обещали, но так и не ответили Ordu на его
> портянку по теории игр, попробуйте симулятор https://notdotteam.github.io/trust/в курсе, работа идет.
>> А поскольку Вы обещали, но так и не ответили Ordu на его
>> портянку по теории игр, попробуйте симулятор https://notdotteam.github.io/trust/
> в курсе, работа идет.Какая работа? Человек старался, расписал всё подробно, даже я понял. Дали обещание ответить, держите слово.
> Какая работа?Работа собственно по тому же вопросу.
> Человек старался, расписал всё подробно, даже я понял. Дали обещание
> ответить, держите слово.Повторяю, идет работа по подготовке подробного ответа. Без ответа он не останется.
>> Какая работа?
> Работа собственно по тому же вопросу.
>> Человек старался, расписал всё подробно, даже я понял. Дали обещание
>> ответить, держите слово.
> Повторяю, идет работа по подготовке подробного ответа. Без ответа он не останется.Спасибо. Виноват, поспешил с выводами.
> почему у всех так взбомбило?У мну не бомбило.. просто взял в уме, что не всё так хорошо в датском королевстве.
Спектакль кто-то пытается скрыть специально внедренные и ни кем еще не раскрытые уязвимости.
>Я не понимаю, почему у всех так взбомбило?А как бы вы отреагировали на приятеля, который плюнул вам в компот, чтобы проверить вашу реакцию?
> А как бы вы отреагировали на приятеля, который плюнул вам в компот, чтобы проверить вашу реакцию?Смешно же.
Сравнение некорректно, нужен запрос на слияние харчка и компота
так ведь ничего такого и не получилось ни в одной из хронологий событий.там и исследование было о другом и выводы из него..
Прикол в том, что даже если ты сидишь на 4.4 longterm - их шаловливые ручки могли и там пошурудить.
Да и в остальных пакетах, не относящихся к ядру тоже.
> Прикол в том, что даже если ты сидишь на 4.4 longterm -
> их шаловливые ручки могли и там пошурудить.
> Да и в остальных пакетах, не относящихся к ядру тоже.Ну была же история о том, что OpenBSD выявила крота NSA, пытавшегося закоммитить заведомо дырявое что-то там на основе эллиптических кривых (или NIST или генератор псевдослучайных чисел, не помню деталей).
Всё так. Тот, кому нужна безопасность старается держаться от опёнка подальше. Если на них не обращать внимание - у них нет багов. А как ребята из квалис стали код потрошить, то стали появляться довольные детские баги на уровне "не проверили длину", "сместили битовое поле не в ту сторону".
А в проприетарный тот же самый NSA закоммитить уже официально и занесет кому надо в кассу. Тогда зачем платить больше?
Агентству Национальной Безопасности США нет необходимости кому либо что либо, как Вы выразились, "заносить".
Это ты так думаешь, а на самом деле там всё еще жестче. Производители сами шлют запросы куда надо с вопросом сколько им заплатят за «баги» или инфу за них.
Агентство Национальной Безопасности США расценивает эту так называемую "историю" от начала и до конца как лживое измышление врагов демократии.
Мда... миллионы глаз опенсорса оказались снова всего лишь шоколадными глазами...Исследователям из университета респект - ушёл с линукса.
ps Ушёл на FreeBSD.
Да, было бы неплохо. Многие бы тоже за вами последовали, возможности нет.
1) Плохая поддержка оборудования
2) Отсутствие софта
> 2) Отсутствие софтаСофта море, есть линукслятор, есть вайн, есть на худой конец виртуалки.
Добро пожаловать. Бросайте ваши линуксы - вэлком ту зе фьюче.
Что за фанатизм?> Софта море
> есть линукслятор, есть вайн, есть на худой конец виртуалки
> Бросайте ваши линуксы - вэлком ту зе фьюче.Называть такое будущим язык не повернётся.
> Что за фанатизм?
>> 2) Отсутствие софтаЧто за вброс?
>> Софта море
>> есть линукслятор, есть вайн, есть на худой конец виртуалки
>> Бросайте ваши линуксы - вэлком ту зе фьюче.
> Называть такое будущим язык не повернётся.И то ли дело запускать проприетарщину из под вайна/докера-в-докере-под-докером в пингвине?
Скажите пожалуйста, а толку тогда от FreeBSD если приходится использовать софт из "дырявого" (по вашему мнению) Linux и еще более дырявой (но в правильных местах) Windows? На кой мне ваш FreeBSD то тогда?
> Скажите пожалуйста, а толку тогда от FreeBSD если приходится использовать софт из "дырявого" (по вашему мнению) Linux и еще более дырявой (но в
> правильных местах) Windows?Сам придумал про "приходится" - сам оспорил.
Попутно продемонстрировав "уровень" современных почти-что-винда-только-на-халяву.> На кой мне ваш FreeBSD то тогда?
Да ради бога, сиди под виндой, раз "никакого толку, потому что тот же софт".
Как там с ноутбуками и PRIME Offloading?
так не один комит с уязвимостями не прошел
конечно не прошёл, ведь исследователи сами о них сообщили в рассылке мантайнерам, сразу после того, как патчи приняли. вот пруф - https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/
они же не бандиты и не злоумышленники, что закладки внедрять незаметно
а если бы не сообщили майнтайнерам - всё бы прошло
так что исследование удалось...
Ты чо тупой? Читать не ушеешь? Патчи были задолго до того как они рассказали. Это они отмывают своих так.
Это вы тупой. Ссылку откройте и прочитайте. Патчи __были приняты__, и только после того, как скинули в рассылку ссылку на исследование и написали про баги "он пёрпоз", горе-мантайнеры вдруг проснулись, лол. А теперь обделавшись горе-кернел-тим всё пытается свести к какой-то там этике. Причём тут этика, если там речь о низко-качественном анализе прнимаемого кода... Ну сейчас то да! Уж как они стали проверять коммиты от универа. Зх, Смешно за этим цирком наблюдать. чес слово.
> Ссылку откройте и прочитайте. Патчи __были приняты__, и толькоПо ссылке https://lore.kernel.org/linux-nfs/YH+zwQgBBGUJdiVK@unreal/ какое-то голословное высказывание, которое Leon Romanovsky неподумав ляпнул сгоряча и доказательства так и не предоставил (полагаю, он написал то сообщение на основе заявлений исследователей из PDF-ки, на которую он поставил ссылку. В дальнейшем сами исследователи признались, что солгали и патчи развернули сразу, а не после их предупреждения). Пруфы ниже. Все патчи развернули сразу сами мэйнтейнеры, а исследователи сели в лужу, написав, что патчи отозвали после того как они предупредили о наличии багов, по переписке это хорошо видно.
Patch 1
https://lore.kernel.org/lkml/20200821031209.21279-1-acostag....This change was accepted into the kernel repository, after a review by
the subsystem maintainer, and showed up in the kernel repository as. This change was valid. The author's attempt to create an invalid change
failed as they did not understand how the PCI driver model worked within
the kernel.Patch 2
https://lore.kernel.org/lkml/20200809221453.10235-1-jameslou...The maintainers quickly recognized that this change was invalid, and
rejected it.Patch 3
https://lore.kernel.org/lkml/20200821034458.22472-1-acostag....This patch was quickly recognized by a reviewer to be incorrect, and the
reviewer offered up possible changes that the submitter could make in
order to turn it into a correct change.
Patch 4
https://lore.kernel.org/lkml/20200821070537.30317-1-jameslou...This patch was reviewed by the maintainer of the driver, found to be
incorrect, and suggestions were made as to what could be done instead to
make the change in a correct manner. The submitter did respond, saying
that their original attempt was incorrect, and apologized for bothering
the developers.Patch 5
https://lore.kernel.org/lkml/20200804183650.4024-1-jamesloui...According to the researchers, this patch was submitted as an independent
patch and not part of the "Hypocrite" research, attempting a legitimate
fix.
>> From: Leon Romanovsky <leon@kernel.org>
>> Yesterday, I took a look on 4 accepted patches from Aditya and 3 of them added various severity security "holes".
> Ты чо тупой? Читать не ушеешь? Патчи были задолго до того как
> они рассказали. Это они отмывают своих так."Как читать попой, бесплатный мастер-класс от опеннетного анонима!"
>>> From: Leon Romanovsky <leon@kernel.org>
>>> Yesterday, I took a look on 4 accepted patches from Aditya and 3 of them added various severity security "holes".
>> Ты чо тупой? Читать не ушеешь? Патчи были задолго до того как
>> они рассказали. Это они отмывают своих так.
> "Как читать попой, бесплатный мастер-класс от опеннетного анонима!"Смысл читать вырванное из контекста?
Acked-by: is not as formal as Signed-off-by:. It is a record that the acker has at least reviewed the patch and has indicated acceptance. Hence patch mergers will sometimes manually convert an acker’s “yep, looks good to me” into an Acked-by: (but note that it is usually better to ask for an explicit ack).
До слияния дошло?
> Смысл читать вырванное из контекста?
> Acked-by: is not as formal as Signed-off-by:. It is a record that the acker has at least reviewed the patch and has indicated acceptance.Ну если формально, то да, ничего не прошло (а то что прошло - уже удалили, а значит, ничего не прошло!).
Но это уже казуистика-софистика какая-то.
Yesterday, I took a look on 4 __accepted patches__ fromкак только патчи приняли, они сразу же их отозвали сами назад, расписав что это часть исследования.
так что всё у них удаллось... вот он уровень проверки кода от мантайнеров...
> 4 патча с уязвимостями были сразу отвергнуты мэйнтейнерами на стадии начального рецензирования и не попали в репозиторий ядра
Идиотам не умеющим читать, это не объяснить.
> Исследователям из университета респект - ушёл с линукса.Только из-за этого инцидента? LMAO, врёте и не краснеете.
// b.
То есть их заставили проверить 435 коммитов, и в 39 из них найдены баги? Получается, что примерно 10% коммитов в ядре можно считать бажными. Ясно, понятно.
Даёшь полный аудит ядра с самого начала и до победного конца!!! :D
> Даёшь полный аудит ядра с самого начала и до победного конца!!! :DПопадает ryoken в рай, а там ему дают ядро и компьютер. :D
А он специально баги пропускает.
С флопом, тонной неформатированных дискет и уловием записывать каждый неумышленный баг на дискету, а затем нести на ревью к охренгелу Михуилу?
Если сильно упростить. Есть группа людей, объединённая некоей большой общей идеей, например: придёт человек, вытащит Меч из Камня, станет королём и поведёт за собой других. Такая идея в итоге формирует государство и называется "ангел". Приставка "архи" означает "ещё круче". Так что советую не шутить на таком уровне НЛП.
Линукс уничтожен. Уходим на хайку.
на ху#йку
Это тот университет минессоты, который на ЦРУ работает ?
И ты тоже ведь на них работаешь
> Это тот университет минессоты, который на ЦРУ работает ?О чём конкретно речь? Дайте ссылок почитать что ли.
Ой, простите, все что под грифом "свободное ПО" априори не может работать на ЦРУ, иначе рушится вся идеология тех , у кого основной ОС стоит свободный в солнечной системе линукс. Это у нас только линукс "Астра" на ФСБ работает и тов. майора, а все что вне России тут да, это все свободное, демократическое и следуя славным традициям Фейсбука.
Молодцы, хорошо поработали и все вычистили
> все вычистилиОткуда известно, что всё?
Там такого барахла может быть много... Эти исследователи сами обо всём рассказли... А есть горы тех, кто не рассказал...
Ну то вали на винду или мак, там-то такого нет
Они им благодарны должны быть, а они разнылись. Удивительно.
> Подсудимый Впопупихайленко украл кошелек у Отраженьелунова. На суде адвокат злоумышленника Седой-Ля-Буду утверждал, что он сделал это не для личного обогащения, а в целя научного эксперимента по проверке уязвимости джинсов потерпевшего. Как было позже выяснено, что Впопупихайленко пытался украсть кошельки и у других потерпевших, но только это преступление было записано на камеру наружного наблюдения и отслежено капитаном полиции Хартмановым. По результату следственных мероприятий вор был пойман, предан справедливому суду, а его работа "На стрёме, посоны. Как срезать кэша" получила живое обсуждение в уголовной среде. Адвокат обвиняемого Седой-Ля-Буду до сих пор уверен в интервью, что, цитата: "Он же благодарным ему должен быть! А он разнылся и маляву в мусарню написал! Он видит же, что носить кошелек во внутреннем кармане - опасно!".
>> Подсудимый Впопупихайленко украл кошелек у Отраженьелунова. На суде адвокат злоумышленника Седой-Ля-Буду утверждал, что он сделал это не для личного обогащения, а в целя научного эксперимента по проверке уязвимости джинсов потерпевшего. Как было позже выяснено, что Впопупихайленко пытался украсть кошельки и у других потерпевших, но только это преступление было записано на камеру наружного наблюдения и отслежено капитаном полиции Хартмановым. По результату следственных мероприятий вор был пойман, предан справедливому суду, а его работа "На стрёме, посоны. Как срезать кэша" получила живое обсуждение в уголовной среде. Адвокат обвиняемого Седой-Ля-Буду до сих пор уверен в интервью, что, цитата: "Он же благодарным ему должен быть! А он разнылся и маляву в мусарню написал! Он видит же, что носить кошелек во внутреннем кармане - опасно!".Если украл и затем сам же отдал - состава преступления по сути и нет.
> Если украл и затем <после громких криков "ВОР! ВОР! и тычков пальцами от зевак"> сам же отдал - состав преступления налицо.Ну такое себе отсутствие состава преступления. Любой обвинитель размажет по стенке.
За что благодарны? За то что из-за них пришлось потратить уйму времени на пересмотр коммитов? Да чтоб вам каждый день кот на пороге ссал чтобы вы зато полы мыли каждый день и у вас было чисто.
> За что благодарны? За то что из-за них пришлось потратить уйму времени
> на пересмотр коммитов? Да чтоб вам каждый день кот на пороге
> ссал чтобы вы зато полы мыли каждый день и у вас
> было чисто.Многие компании с радостью бы прошли бесплатный аудит, но увы, платить приходится, и не малые деньги.
Исследования да, это хорошо. Можно еще, например, еще провести такой - рассылать жильцам твоего дома письма со спорами сибирской язвы, исследуем осмотрительность твоих соседей, будет очень познавательно и интересно.
> Исследования да, это хорошо. Можно еще, например, еще провести такой - рассылать
> жильцам твоего дома письма со спорами сибирской язвы, исследуем осмотрительность твоих
> соседей, будет очень познавательно и интересно.Типичная аргументация сторонника альтернативной медицины.
"Мы тут к вам зашли и настали. Почему вы такие неблагодарные?" Так что ли?
Посовейте - куда после такого фэйспалма от ляликса бежать? Опениндиана хорошая ОС?
Рекомедую переходить на OpenBSD или FreeBSD.
> Опениндиана хорошая ОС?если железо позволяет... на старые карточки ивидиа там нет дров 309.х. только то, что выше.
Ты уже настрочил миллион однотипных комментов в стиле "ухожу из линукса". Зачем ты ещё продолжаешь из строчить?
> Ты уже настрочил миллион однотипных комментов в стиле "ухожу из линукса". Зачем
> ты ещё продолжаешь из строчить?Изображает толпу. Толпой ходить не страшно.
А почему Тимур Девлетшин защищает Миннесотчиков? Ему симпатичный те кто создаёт вредоносный код? Думаю, да.
Скорее потому, что сам хочет быть на их месте, а грин не дают, сволочи.
> А почему Тимур Девлетшин защищает Миннесотчиков?Чтобы было что обсуждать. Когда все согласно кивают головами в ответ на любое утверждение, обсуждение не складывается.
Наивно ждать адекватности от того, кто в этом никогда замечен не был.
Посовейте - куда после такого фэйспалма от ляликса бежать? Опениндиана хорошая ОС?
OpenBSD же!
Однозначной лайк
Посовейте - куда после такого фэйспалма от > ляликса бежать?Я бы посоветовал на %$^,но модераторы удалят
>куда бежать?Лучше лягте на диван, так и бежать расхочется.
TempleOS
Вот такая она безопасность в Линукс, принимают патчи от кого попало, а когда их мокают лицом в лужу, делают недовольное *бало.
а другой безопасности у нас нет
Давай ссылку на свой опенсорс-проект, выжду немножко, пока история не забудется, и проверю таким же методом, посмотрим, что ты примешь а что нет.Если он у тебя, конечно, есть, в чем я очень сомневаюсь
> Вот такая она безопасность в Линукс, принимают патчи от кого попало, а
> когда их мокают лицом в лужу, делают недовольное *бало.У них есть всякие кроахартманы и прочие тела которые по крайней мере
- Способны читать код.
- В курсе типовых багов.
- Видели статический анализатор не только на картинке.
- Чинили баги за таковым.
- Способны понять когда им нагло врут в лицо на эту тему.А много ли вообще на этой планете проектов где народ так вообще умеет? Ты на свои выс^W код вообще пробовал статические анализаторы напускать? Или покажешь проекты с качеством кода лучше, которые могут все то - да еще с превышением? А безопасность по методу неуловимого джо любой лох умеет.
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно.
...
Шлюхи в борделе заявили в полицию, что их изнасиловали. Или уже нет.
Но всё равно бесплатно провели реклатную кампанию.
Так надо было просто в борделе платить по прайсу, а не пытаться отхватить на халяву.
В любом случае это опенсорс (код/коммит видно), и наобор указывает на сильные стороны . btw не верю что в проприетари таких историй не бывает =) Впрочем в проприетари и без универов справляются (как пример новости про бэкдоры в прошивках роутеров)
> Повторное рецензирование ... вскрыло отдельные <<<неумышленные>>> ошибки и недоработки.Точно-точно неумышленные???
Linux без патчей из Миннесоты это какая то винда с телеметрией и бэкдорами
>В 39 коммитах обнаружены проблемы, требующие исправления<Надо почаще проводить повторное рецензирование, очень полезно оказывается
Это получается 10% кода с ошибками
> Это получается 10% кода с ошибкамиСреди патчей этого конкретного универа — да.
И это только среди принятых патчей. А ещё была куча отвергнутых и исправленных.
Об этом с самого начала и говорили — этот универ присылает слишком много говнокода. Проще его забанить, чем тратить время на исправление.
> Например, исследователи уже отозвали публикацию "Hypocrite Commits" и отменили своё выступление на конференции IEEE SymposiumА зачем такое требование?
Может, затем что оно, таки, как раз и не прокатило? А если они хотят вещать обратное - пусть тогда и комитят в /dev/null и рассказывают как там их патчи принимают :)
если не прокатило, то это тоже результат и его надо опубликовать. В чем проблема?
> как раз и не прокатилочё ж не прокатило. очень даже прокатило.
сейчас кернел-тим пытается замять скандал, сведя всё к этике и прочим, не относящимся к теме вещам. все нормальные люди уже сделали выводы по поводу качества code-review в ядре.
Бывших не прощают. Изменили. Пока. Как можно теперь доверять.
Говорить они могут что угодно. Клятся и божится.
Их надо судить за вмешательство в работу компютерных систем и распространение вредоносного ПО. Посидят лет 10 в тюрьме и исправятся, и другим наука будет. Но пока ядро разрабатывают терпилы, ничего хорошого в плане безопасности не будет - всем теперь ясно за взлом ядра ты получаеш популярность и известность.
Цап за руку !
Кстати, а тот чувак, который ГСекьюрити, или как его там, в его патчах это чистилось?
>Например, исследователи уже отозвали публикацию "Hypocrite Commits"Требовать такого - это черезчур. Кто вообще такой этот Грег и какого хрена он говорит за всё сообщество? Давай, до свидания.
> Требовать такого - это черезчур. Кто вообще такой этот Грег и какого хрена он говорит за всё сообщество?этого требовал не грег, а linux foundation.