Компания Synopsys проанализировала 1253 коммерческих кодовых баз и пришла к выводу, что почти все (99%) рассмотренные коммерческие приложения включает как минимум один компонент с открытым исходным кодом, а 70% кода в рассмотренных репозиториях является открытым. Для сравнения в аналогичном исследовании 2015 года доля открытого кода составляла 36%...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52945
Вот тебе и дурное "работает - не тронь", а потом используются годами протухшие либы с древними эксплойтами.
В реальном мире всё сложнее. Если в проекте найдется бодрый юноша, который будет всё обновлять без разбору, проблем не оберёшься. Иногда лучше потерпеть потенциальные уязвимости (кому ты нужен!) лишний годик, чем получать по голове от начальства и в режиме аврала ломать мозг над решением кучи свалившихся на тебя багов.
>> потерпеть потенциальные уязвимости (кому ты нужен!)Ботам инетовским всё равно. А кому-то именно ТЫ и нужен!
Думаю, это вопрос ответственности -- за что именно, особенно не тобою сделанное, берёшься отвечать.
https://a.radikal.ru/a42/2005/0f/fe65d7a0f5a5.png
>кому ты нужен!Это справедливо разве что на локалхосте, на предприятии 1) ты отвечаешь за организацию 2) у компании есть что украсть и них всяко больше денег чем у тебя
А вы ссударь ратуете за содом и гоморру тысячи "цветов"? Эффективные манагеры (читай гуманитарии) жарят прогрессивную культуру написания софта, что бы по средствам новомодных обновлений заманить нас всех во все эти новомодные левацкие фреймворки которыми они управляют. Я вам простую вещь скажу, прогресс бывает плохой ,и хороший, всё зависит от того кто "девушку танцует". Проблема только в том, что леваки девушкой считают НАС!!!
По этому я за опенсорс, всегда можно вычислить людей которые писали код, и с какой целью.
Вообще в цивилизованных странах считается нормальным при закупке приложений спрашивать каких стандартов при разработке кода они придерживались. И не писать там соответствия хотя бы самого простого ISO 27k это уже моветон и хорошая заявка на просер тендера.
Synopsis располагается в стране нецивилизованной -- написано же: Mountain View, CA. Воспользовались бы привилегией жевать уже, что ли...
Synopsis вполне себе придерживается практик безопасной разработки по ISO и NIST. И они оказывают услуги по аудиту на соответствие стандартам безопасной разработки и архитектуры для тех, у кого нет своих собственных DevSecOps-ов. Что сказать-то хотели?
Что хотел -- то сказал. Свидетелям "цивилизации" гопников -- не понять.
Дурное -- это применять бездумно. Например, админский подход в разработке.
Разверните мысль, пожалуйста. Что за "админский подход"?
написано же "работает — не трогай"
намек, что не надо чинить (менять настройки) то, что не сломано
Наверное, чукча не читатель, но как они проанализировали код закрытых проектов?
За деньги.
Им за это платят и довольно хорошо платят.
Synopsys развивает платные сервисы для проверки и тестирования кода, данные из которых и использованы в статистике.
Копирайты в бинарниках остаются?
Какие бинарники в Node.js?
Бинарники можно сканировать. Если есть бюджет - компилируем все релизные версии условных Х тыс. самых популярных открытих либ разными компиляторами, находим в них уникальные последовательности байтов, пишем Yara правила (Yara rules), и сканируем бинарники.
А уж в том, что хомячье впендюривает на свои ведроиды!!! О, это просто жЫр! Нет уж, я с обычным кнопочным, уже 5 лет ;)
До этого ходил с дисковым?
С древним ведроидом. Чо ж ты хочешь, моментально прозреть дано не каждому.
Радиорелейкой "Алтай"
Так она, скорее всего, без всяких прошивок вообще была. Правда, и разговоры не шифровала.
*пустил скупую слезу*
https://www.cnet.com/news/a-mobile-phone-with-a-rotary-dial-.../
Зачем так далеко? Есть ссылка на наш любимый сайт https://www.opennet.dev/opennews/art.shtml?num=52396
Не может быть. И да, очень часто они слинкованы статически. Или там старая версия апи, устаревшая 20 лет назад и подмена файла на новый ни к чему хорошему не приведёт (даже при доступе к коду). Обновлять? Пфф, да кому это надо. За это пользователи платить не будут, им подавай новый сплашскрин. Вот это открытия в 2020 году.
в том то и дело , что старый код работает хорошо в связке с другим таким же старым кодом для которого он писался, а если решил собрать пингвина с ужом , то потрудись выполнить проверку на совместимость)) часто вообще проблемы вырисовываются не в самих программах, а на их стыке, когда они открывают лазейки именно при работе друг с другом.
"..Поэтому нужно срочно удалить атавсюду УСТАРЕВШИЙ код!!!111"С Уважением,
Юный Смузихлёб.
Дорогой неСмузихлёб, в софте постоянно находят и латают дыры. Ничто не пишется идеальным с первого раза. Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости. Если вам нравится пользоваться дуршлагом, пользуйтесь на здоровье, но не обвиняйте других в смузихлебстве.
Как будто смузи — это что-то плохое.
старый код выкидывать сложно. Иногда просто для того, чтобы обновить библиотеку до свежего состояния нужно потратить человеконеделю.И то не факт что заработает. Иногда просто не знаешь к чему такое обновление приведёт. Вот и сидим на двух стульях
Разумеется; и это хороший повод подружиться с апстримом и обеспечивать своими ресурсами в кооперации с ним поддержку LTS-веток: win-win.
> Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости.Почему cмyзиxлёбы считают новейший код априори идеальным и безопасным?
Пофиксишь пару неведомых теоретических уязвимостей в старом коде, который работал дохрена времени без проблем, добавишь 2 десятка новых, более модных-молодёжных. Только пока еще не обнаруженных.
всего-то 75%? я недавно в последней версии одного очень популярного у фотографов приложения нашёл ruby 2.2. написал в поддержку, а они такие "это вам повезло, что мы 1.8 недавно выкинули"
С Руби была история как с Питоном 2/3, т.е. для 1.8 существовала огромная экосистема, а когда в 1.9+ запилили VM еще несколько лет пакеты обновлялись.
Нет ничего удивительного, что никто не хотел браться и разгребать клубок зависимостей.
Потому что "модные молодёжные" вообще в каком-то своём мире живут. То ли дело скучные плюсы, заботящиеся о совместимости
В плюсах заботиться об обратной совместимости жизненно важно, чтобы была хоть какая-то переиспользуемость бинарников, а не бесконечная многочасовая пересборка всей проги с 0, а-ля Gentoo. Из-за манглинга, разнящегося от компилятора к компилятору и кучи соглашений о вызове, а также национальных особенностей экспорта символов, что в Линуксе(SO), что в Винде(DLL), сломать ABI в плюсах ну очень просто. А если нужно сделать либу, которую можно юзать и из C, и из C++, то лучше вообще куда-нибудь в дистрибутив класть ридми о том, чем собирались либы.
я в курсе про переход с 1.8 на 1.9. и то, что 1.9.1 и 1.9.2 были тоже не совместимы.но только это всё уже было почти 10 лет назад, а мы как раз говорим про "устаревший открытый код"
Я так понимаю, что речь идёт о коммерческих приложениях предоставляемых клиенту/конечному потребителю? Внутренний софт для внутреннего использования должен по идее иметь гораздо более плачевные результаты по безопасности...> 93% всех проблем с лицензиями проявляются в сетевых и мобильных приложениях. В играх, системах виртуальной реальности, мультимедийных и развлекательных программах нарушения замечены в 59% случаев.
Закономерно, что в мультимедиа нарушений меньше. Мультимедийные приложения страдают от дилеммы, как им распространять мультимедийный контент авторского производства вкупе с софтом одновременно. GPL в этом смысле вредная лицензия, которая лезет куда не надо. Подозреваю, что нарушений меньше потому что эта братия предпочитает не связываться c GPL при любой удобной возможности.
Тто-тто ffmpeg в каждом первом месте, где нужен...
Где Rust?, Вы что? (совсем уже:) ).
Да всё там же ;)
Чего и следует ожидать от коммерческого ПО. Кроме как ... на палочке ничего не полчишь. Разве что кошелёк полегчает.
Закономерное следствие "сейчас мы заинсталлимся в /opt с полным перечнем собственных версий share object'ов"
Если перечень есть, то еще не так уж плохо, чаше бещ него, ибо зачем это пользователю?
При анализе внутренних софтварь используемых исключительно во внутренних сетях были получены данные что они старые и давно не обновляются потому что работают стабильно и ресурсы на на разработку уже потрачены. Новость не о чем.
Ну, это было предсказуемо...
Вот именно поэтому во всех приличных местах чтобы подключить опенсорсную библиотеку к проекту надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела, и, в некоторых случаях проводить патентное исследование.Потому что опенсорс дыряв и с ним связываться почти всегда себе дороже - за что в приличных местах за него дают по лицу.
>надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отделаЭто для якобы свободного гпл так надо. С апачем, бсд, илипубличным достоянием проблем нет.
>в некоторых случаях проводить патентное исследование
Ну это в совсем нецивилизованной сшашке только надо.
>Ну это в совсем нецивилизованной сшашке только надоНеа. Пишу из японской корпорации. Например, нам недавно по причинам патентов юр отдел запретил использовать opencv, полгода уже пилим с нуля свой велосипед.
И как это поможет в ситуации, когда оптимальный метод найден до вас и запатентован? Причём, скорее всего, с формулировкой, допускающей максимально широкое толкование?
>>>> патентное исследование
>> Ну это в совсем нецивилизованной сшашке только надо
> Неа. Пишу из японской корпорации.Ну это совсем то же. В плане конкретно патентов на математику ;-)
Свободу Окинаве!
Вот честно, патенты на алгоритмы - это дичь и шиза, максимум это может быть коммерческой тайной, которую ты должен защищать своими силами (обфускация, например). Если кому-то хватило мозгов разреверсить - сам виноват, плохо спрятал. Техно-лобби в Америке совсем зажравшееся еще со времен Эдисона. В идеале, исследования, и матвыкладки всегда должны публиковаться как публичное достояние, а вот реализация - да хоть 33 проприетарных лицензии на нее накати, дело твое. У кого руки прямые и формулы читать и понимать умеет, тот код сам напишет, главное не будь мудаком и поделись математикой.
эм. Разрешения и положительные заключения нужны, чтобы подключить и не обновлять?
>получать разрешения и положительные заключения от техлидовВот поэтому , берут опенсорсную библиотеку, выдирают копирайты, рефакторят переименовава пару классов и ctrl-c ctrl-v
100% согласен. OS это зло. Хотели как лучше получилось как всегда. Вместо обмена знаниями и идеями, это теперь социально-политический клуб.
Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.dev/openforum/vsluhforumID3/120621.html#18>А в старых версиях coreboot байты прокисают?
Пусть теперь думает.
Рантайм фирмвари напомните?
> Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.dev/openforum/vsluhforumID3/120621.html#18
>>А в старых версиях coreboot байты прокисают?Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем: коммерческого закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).
К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому намного честнее заявить "мы не поддерживаем - ведь тот самый аноним не хочет присылать патчи или донатить", чем иметь список поддержки "для галочки".
> Пусть теперь думает.
Пусть аноним тоже попробует - авось понравится 🙄
>[оверквотинг удален]
> Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем: коммерческого
> закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не
> затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).
> К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых
> -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому
> намного честнее заявить "мы не поддерживаем - ведь тот самый аноним
> не хочет присылать патчи или донатить", чем иметь список поддержки "для
> галочки".
>> Пусть теперь думает.
> Пусть аноним тоже попробует - авось понравится 🙄Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. Патч тоже палка еще та: если он работает локально, зачем им делиться? Чтобы исправлять ошибки на чужих конфигурациях? И если работает сейчас, то может не будет работать в будущем - а это кто-то еще кроме присылающего сможет починить? И опять массовость нужна: тогда исправление выгодно вносить, в одиночку - нет
> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.Да я не спорю. Хотя если действительно нужно, то можно "кинуть клич", поискать единомышленников.
Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами) за свои хотелки, то наверное не стоит и ныть "вооот, взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?
>> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.
> Да я не спорю. Хотя если действительно нужно, то можно "кинуть
> клич", поискать единомышленников.
> Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами)
> за свои хотелки, то наверное не стоит и ныть "вооот,
> взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?Если было и как-то работало, то понятно возмущение, впрочем, право на форк тоже никто не отменял; да, действительно, не виду повода для спора
> >А в старых версиях coreboot байты прокисают?
> Пусть теперь думает.А там закрытый код, что-ли? Ну очень ты дорожишь своей железкой, возьми, да сам портируй патч безопасности и собери. Или за деньги закажи патч. Это же отрытый продукт. Зачем бесплатно заниматься теми железками, которые почти никто не использует?
Не ну, ребят. Я конечно понимаю что статистика очень интересная и в выводах наверняка всё тоже показательно... Вот только что это за выборка такая? 1253 приложения. Думается мне что на все эти миллиарды людей коммерческих приложений должно быть на несколько порядков больше. А если так -- статистика ни о чём.Плюс наверняка Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили.
Так что цифры хоть и страшные, но абсолютно бесполезные.
"Много кто юзает опенсорс библиотеки" -- то же мне новость.
"Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.
> Вот только что это за выборка такая?
> Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворилиАга, настоящие бизнесмены не сомневаются в своем идеальном коде, и в эту неправильную статистику не попадают. А то уж они бы показали немытому опенсорсу, как надо код писать!
> "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.
А если и не забрасываются, зачем обновлять? Код закрытый, никто не видит, пипл хавает.
> А то уж они бы показали немытому опенсорсу, как надо код писать!Вспомнил 10 лет не закрытый dirty cow, через который опенсорсный кocтылинупc не имел только ленивый, пожал плечами.
4. "Программа имеющая проприетарную лицензию некачествена!". Это будет пятым "Определением свободного программного обеспечения".4 предыдущих, (от 0 до 3-х) проповедовал нам сам Великий Столлман.
Воистину, воистину!
Вы вот приржать пытались, а качество обслуживаемости у закрытого софта и впрямь принципиально иное -- столкнётесь, поймёте. Когда исходники _есть_ -- даже если ни разу не собирался туда лезть, это страховка на случай, когда полезть всё-таки придётся: самому ли, найдя ли специалиста. Очень доходчиво, между прочим.
Ну да, специалист, обычно того же уровня квалификации, посмотрит на исходники которые _есть_ и скажет: говно, выкинуть, переписать всё заново.
Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. Правда, сомневаюсь.
> Ну да, специалист, обычно того же уровня квалификации, посмотрит
> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
> всё заново.Это скорее национальная специфика, не стоит совсем уж обобщать.
> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
> Правда, сомневаюсь.Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда его наличие -- последний довод.
>> Ну да, специалист, обычно того же уровня квалификации, посмотрит
>> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
>> всё заново.
> Это скорее национальная специфика, не стоит совсем уж обобщать.То есть нация плохая? Программисты-нежоучки? А где профессионалы?
>> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
>> Правда, сомневаюсь.
> Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
> В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда
> его наличие -- последний довод.Кто-нибудь сталкивался? Как успехи? И как после таких вмещательств полет нормальный, обновления бинарные там?
75%не умеют финансов для опенсорца. Сжнчь.
Почему _это_ в разделе "Новости"?
Разве это новость? Нет.
По сути -- нет, по конкретике -- очередная.
> Наиболее часто встречающейся опасной уязвимостью стала проблема CVE-2018-16487 (удалённое выполнение кода) в библиотеке lodash для Node.jsЯ на гитхаб загрузил обычный HTML-шаблон с минимум JS вместе с GULP сборкой, то мне тоже гитхаб сыпал предупреждения, что, мол, есть уязвимость в lodash. Я так и не понял чем это чревато для обычного темплейта и фиксить не стал. Вероятно, я тоже попал в эту статистику. Интересно, как много подобных случаев попали в эту статистику?
Имеется ввиду когда уязвимость есть, но что-то выжать из неё "полезного" нельзя (или можно только я этого не знаю?)
> Вероятно, я тоже попал в эту статистику.Если Вы не платили Synopsis в бессознательном состоянии -- точно нет.
По крайней мере напрямую. :)
Это они как GitHub просканировали package.json увидели старый lodash и давай поднимать тревогу? А что если я не использую уязвимые функции? Или не в браузере как описано в CVE? Или наоборот в браузере.Проблема со старыми багами и уязвимостями реальна, но цифры высосаны из пальца.
Всё ПО нынче выглядит, как тарелка со спагетти, и уязвимость в одной функции запросто может выстрелить в другой только за счёт используемого общего кода, например.
Эм, оно всегда будет так выглядеть, потому что реюзабилити стоит во главе угла у всех нормальных разрабов, которым впадлу плодить сущности. Нельзя придумать архитектуру, в которой будут "магические" модули, которые в себе так хитро спрячут нюансы реализации, что стрельнувший модуле произвольный заранее неизвестный косячок не выберется за его пределы. Только тесты и личная квалификация/квалификация команды при разработке, другого не дано, чтобы хотя бы процентов на 80% быть уверенным, что ПО достаточно качественное.