В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена уязвимость (CVE-2025-37899), потенциально позволяющая добиться выполнения своего кода на уровне ядра через отправку специально оформленных пакетов. Примечательно, что проблема была выявлена в ходе анализа кода AI-моделью OpenAI o3. Так как полный код модуля ksmbd превышает допустимый для модели размер контекста, проверка выполнялась поэтапно для кода с реализацией отдельных команд SMB, используя типовые запросы...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63301
вот путь повышения качества кода, а не rust и тд!
> В итоге, модель определила проблемное место в коде, в котором освобождаемый объект, оставался доступен в другом потоке.это буквально не было бы проблемой в
на расте вообще
> не было быЕсли бы у бабушки... а пока раскрашиваем консоль на расте...
>>>> While one ksmbd [B]worker thread[/B] is still executing requests that usesess‑>user, [/B]another thread[/B] that processes an SMB2 LOGOFF for the same
session frees that structure.>>> Воен Супротив Раста1: Ха! Тут бы ваш Раст не помог!
>> Чувак, вообще-то владения и доступ к данным из потоков без гонок - основные фишки раста.
> Воен2: Если бы у бабушки... а пока раскрашиваем консоль на расте...Классика опеннета:
Опять опеннетные Воены сами приплели Раст -- и сами его "побИдили" ...Затем, в других новостих -- будут жаловаться на "растаманов, везде токстично рекламирующих свою ржавчину!"
> Если бы у бабушки... а пока раскрашиваем консоль на расте...Ты же можешь привести случаи, в которых Раст не выполняет свои гарантии? (А описанный в новости кейс – это одна из гарантий)
Кто такие сишники? Те кто просто ошибаются? Нет, сишники это те, кто испытывает любовь к ошибкам. Он не просто хочет ошибаться, он хочет отсутствия порциания за ошибки. Если бы сишники не хотели совершать ошибки, то даже если бы они и не отказались от сишки, то давным давно к каждому мало-мальскому проекту прикрутили бы линтер с линейными и зависимыми типами как минимум. Но тот факт, что сишники ничего не знают о зависимых типах даже сейчас, даже в 2025 году, обнажает их гнилую натуру
Ну так поведай нам о зависимых типах, вместо твоего TL;DR.
Рассказывать в каждой из 100500 тем? Я вам сказал сказал в каком направлении копать. Ещё ATS посмотрите.
> случаи, в которых Раст не выполняет свои гарантии?Я уверен, что 90% использующих раст либо не знают списка этих гарантий (и используют его просто потому что он что-то там гарантирует и поэтому в программе на нём наверное не будет вообще никаких ошибок), либо используют его просто потому что "ой какой прикольный язык, давайте попробуем его".
> Я уверен, что 90% использующих раст либо не знают списка этих гарантийРаст от тех же плюсов, архитектурно, отличается незначительно, что бы там кто ни говорил. А основная масса отличий именно в UX, т.е. именно _как_ язык даёт возможность разработчику реализовать свои идеи.
И если говорить про гарантии, то Раст _требует_ от программиста их соблюдения и не получится их игнорировать. В отличии от плюсов, где язык _предлагает_ возможности и оставляет выбор за автором.
Другими словами, чтобы писать безопасный код в плюсах, надо знать как это делать, а чтобы писать безопасный к код в расте, надо... просто его писать, компилятор ткнёт носом когда надо.
> Я уверен, что 90% использующих раст либо не знают списка этих гарантийДумаешь писаки на СИ знают хотя бы десяток UB из списка в 193))) [1] ?
Думаю им достаточно знать, что "раст лучше сишки и плюсов".
Хотя для узнавания такой секретной информации как "список гарантий" достаточно прочитать растбук.[1] gist.github.com/Earnestly/7c903f481ff9d29a3dd1
>можешь привести случаи, в которых Раст не выполняет свои гарантии?Об этом можно будет говорить только тогда, когда написанных на Расте и реально эксплуатируемых сервисов станет хотя-бы 1% всемирного кода. А пока выборка Раста абсолютно ничтожна для какой-либо значимой статистики.
Количество кода, написанного на расте уже достаточно чтобы убедиться, что он "за базар отвечает".
А "всемирный код" это на каких языках программирования?
Что-то мне подсказывает, что половина будет на пхп и JS)
Еще будет java/c#/GO и прочие со сборщиком мусора.
Сравнивать их с СИ или Растом как-то не интересно. Да и типичных проблем дыряшки там не будет.Но могу вспомнить опыт андроида:
Android 13 был первым мажорным релизом, в котором большая часть нового кода была написана на memory safe языках программирования.
Количество строк на rust достигло 1.5 миллионов. При этом на 1 декабря 2022 года в них не было найдено ни одной ошибки связанной с памятью!
https://security.googleblog.com/2022/12/memory-safe-language...
еще раз, аи обнаружило висячий указатель в другом потоке который уже освободили.прототип уязвимости, какой, где? описание уязвимости?
В первом предложении все ссылки.
Имхо, самбу в ядро... прям минимализм какой-то.
Это же монолит.
Либо в ядре работаешь нормально, либо собираешь крошки в юзерспейсе.
Юзерспейсные smbd, nmbd работают давно и успешно, и жрать не просят.
> Отмечается, что в отличие от SMB-сервера, работающего в пространстве пользователя, реализация на уровне ядра более эффективна с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра.Буквально что я написал выше, другими словами.
А всё остальное раньше не смущало?
Тот же NFS
Это же динамический модуль.
Smb такая шляпа. То eternalblue в винде, теперь тут.
То ли дело - аааа... Ээээ... Nfs? S3 поверх http? Webdav, во! В них-то точно никаких проблем никогда не было!
Что не так с NFS?
В контексте комментария выше — явно по количеству уязвимости / популярности — не будет лучше.
> Что не так с NFS?"... Которого я не то, чтобы "не видел", а 'о котором я ничего, кроме названия и не слышал даже'"? Краткий ответ ВСЁ.
Подробный можете начинать искать отсюда https://datatracker.ietf.org/doc/html/rfc2623
И примерно до ужина, которого у вас не будет - ибо кроме самого протокола в трех версиях там ещё 100500 реализацией разной степени кривости.
>> Что не так с NFS?
> "... Которого я не то, чтобы "не видел", а 'о котором я
> ничего, кроме названия и не слышал даже'"? Краткий ответ ВСЁ.
> Подробный можете начинать искать отсюда https://datatracker.ietf.org/doc/html/rfc2623Документу 26 лет, и касается он rpcbind/kerberos по большей части, первый опционален в nfs4, второй для большинства пользователей nfs тоже не нужен
>>> Что не так с NFS?
>> "... Которого я не то, чтобы "не видел", а 'о котором я
>> ничего, кроме названия и не слышал даже'"? Краткий ответ ВСЁ.
>> Подробный можете начинать искать отсюда https://datatracker.ietf.org/doc/html/rfc2623
> Документу 26 лет, и касается он rpcbind/kerberos по большей части, первый опционален
> в nfs4, второй для большинства пользователей nfs тоже не нуженНу, я понимаю, что начинать искать надо было с документов 40 летней давности - но мне честно в лом - сам я реализацию 85го года не застал, но то, что видел с конца 90х с т.з. инфобеза - лютая хтонь примерно во всех аспектах. Там, Ъ даже в 4ой версии своего шифрования нет (Нет, Карл! Совсем, никак - нет) и с AUTH_SYS uid\gid plaintext'ом передаются... "н" - "надежность!"
На этом фоне вот это всё:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=nfs
маленькая такая вишенка на коричневом торте.
> Ъ даже в 4ой версии своего шифрования нетА зачем? В подобных средах применения всегда VPN есть
NFS4 в целом значительно отличается от своего предка, большинство проблем NFS3 в третьей версии и остались
>> Ъ даже в 4ой версии своего шифрования нет
> А зачем? В подобных средах применения всегда VPN есть
> NFS4 в целом значительно отличается от своего предка, большинство проблем NFS3 в
> третьей версии и осталисьНе, ну если обсуждать сценарий "подключаем сторажку к ноде отдельным шнурком" - оно даже и безопасно. Наверное - проверять все одно некому.
Но сравнивать вот этот вот единственный сценарий с CIFS как бы даже ээээ...
> Наверное - проверять все одно некому.
> Но сравнивать вот этот вот единственный сценарий с CIFS как бы даже
> ээээ...Мы в каком году находимся?
Я понимаю SMB3 предложить как альтернативу NFS4, но CIFS?И опять же, если тебе требуется что-то за пределами того что NFS4 предоставляет - интеграция с kerberos у него прекрасная.
>> Наверное - проверять все одно некому.
>> Но сравнивать вот этот вот единственный сценарий с CIFS как бы даже
>> ээээ...
> Мы в каком году находимся?
> Я понимаю SMB3 предложить как альтернативу NFS4, но CIFS?Так начинался тред с ethernalblue который вообще Smbv1 )
> И опять же, если тебе требуется что-то за пределами того что NFS4
> предоставляет - интеграция с kerberos у него прекрасная.Ну как тебе сказать? Предлагать в качестве "более безопасной" альтернативы протокол, который можно "безопасно" (Но это не точно) использовать вот по отдельному шнурку или через VPN, с ручной интеграцией еще вот и kerberos'а - идея хорошая, идея правильная, можно сказать Ъ-linux'оидная, но, к сожалению, не то, чтобы находящая отклик в прочих умах.
> идея хорошая, идея правильная, можно сказать Ъ-linux'оидная, но, к сожалению, не то, чтобы находящая отклик в прочих умах.Ну как бе, для правильного сетапа smb тебе тоже нужно поднимать activedirectory, и тут можно поспорить что сложнее в настройке и обслуживании.
>> идея хорошая, идея правильная, можно сказать Ъ-linux'оидная, но, к сожалению, не то, чтобы находящая отклик в прочих умах.
> Ну как бе, для правильного сетапа smb тебе тоже нужно поднимать activedirectory,
> и тут можно поспорить что сложнее в настройке и обслуживании.Ну... "А мужики-то не знали!"
FTPs
> FTPsПрикрутим к знаменитому дiдовскому дизайну пачку костылей ssl на изоленту? Добре, добре - но чот вы знаете? Не вышел у Данила-мастера каменный цветок.
Редкий случай когда LLM использована уместно - поиск иголки в стоге сена = стог большой, а найденную иголку достаточно легко отличить от соломинки.
Это далеко не первый пример поиска уязвимостей сетками. Благо, для сишного кода там её и обучать сильно не надо – типы уязвимостей одни и те же.
Даже рейтинги составляют какая сетка больше найдет.
Так вот пишут что в ослика не влезло столько сена, пришлось по соломинке кормить. А если проект ещё больше..
Ну и пусть кормят по соломинке, если результат даёт
А Шон Хилан не сообщил сколько жyлики из OpenAI ему заплатили?
> Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free)Просто линукс писался ненастоящими сишниками. Запомните: настоящий сишник _всегда_ следит за указателями и не освобождает их дважды. То есть язык не виноват. Виноваты ненастоящие сишники.
Настоящий сишник следит на новостями про Rust и сишные дырени, некогда ему за указателями следить.
"Никогда такого не было и вот опять!" (с)Зато хоть какая-то польза от LLM. Может хотя бы они научат лудших_погромистов не освобождать память дважды.
Лудшие погромисты обычно горделивые. Они научились только malloc/free, а более глубокие концепты типа "владение" уже обычно неосиливают. Свое нежелание учиться обосновывают тем, что якобы экономят такты ЦПУ, хотя например GTK написан на сишке, но тормозит так, словно он электрон в электроне в электроне.
Gtk2 не тормозит. Догадаешься, почему?
На том железе, на котором кде3 летало со свистелками и перделками (via c3 800мгц), гном с gtk2 лагал.
Гном с компизом или гтк? Кастомные движки тем, да? Они не очень быстро работали. Какие свистелки в кде3, там даже композитинга не было? Потому что в кде3 суперкарамба лагала не меньше. Временной период не ясен, для такого железа максимум кде2, соответственно, гном должен быть того же времени. Но тут проблема, что оконные менеджеры у гнома треш ещё тот. Хотелось бы увидеть отчёт профилировщика, что именно лагало (уж не векторные шрифты ли, потому что даже сегодня они могут быть проблемой).
Вы предлагаете заторомозить прогресс из-за нескольких нищуков, пока у них не сгорит железо?
На окнах с десятью кнопками? Вы увеличте количество кнопок, и сразу тормоза вылезут. Просто у сишников усилия на войну с указателями тратятся, а не на алгоритмы
Гткшники как раз единственные упарывались профилированием именно тулкита и поведением тулкита в программах. Но это закончилось с гтк2 по понятным причинам.
gtk юзает для отрисовки внезапно cairo и pango. Так кто тормозит gtk или cairo?
> gtk юзает для отрисовки внезапно cairo и pango. Так кто тормозит gtk или cairo?Pango - да, для шрифтов. А вот cairo скорее нет. По крайней мере в GTK4 - там cairo оставлен, как резервный метод отрисовки. Основной - через vulkan или opengl. В целом же как-то не замечал, чтобы gtk "тормозил". Если такое наблюдается, то обычно виноват или непосредственно видеодрайвер, или его кривая настройка.
> Лудшие погромисты [...] якобы экономят такты ЦПУ, хотя например GTK написан на сишке, но тормозит [...]Ну так используйте ИИ, чтобы понять смысл ВАШЕГО СОБСТВЕННОГО сообщения. Из того, что вы написали, следует лишь то, что "лудшие программисты" заняты более полезными задачами, нежели традиционное ежегодное переписывание GTK с нуля обязательно со сломом всего от него зависящего.
К тому же (между нами с вами, никому больше не говорите), гтк - это пример "реализации ООП в Си", где типы проверяются в рантайме. Что оно будет тормозить мне лично стало понятно в первый час изучения гтк.
> Зато хоть какая-то польза от LLMКаждый раз интересно, люди пишущие про бесполезность ИИ - они из чего эту бесполезность выводят? Любому, кто пользуется ИИ очевидна его неимоверная полезность. И научить может всему на свете, и в проблемах помочь разобраться. Соответственно, создаётся ощущение что эти люди просто с ИИ не работают, иначе бы они такого не писали. Получается, они врут. А зачем они врут? Просто скучно дома сидеть что ли, надо себя чем-то развлечь в интернете? Непонятно. Или им просто нравится представлять, что они живут в каком-то вымышленном мире, и им обидно, что реальность ему не соответствует. Теряюсь в догадках.
>очевидна его неимоверная полезностьвот прямо чтобы неимоверная это наверно только не совсем полноценным она очевидна.
>создаётся ощущение
опять же, у кого оно создаётся, у специалистов оно не создаётся почему-то.
Реальная сложность в работе с инструментами, подобным генеративным сетям (тупик, между прочим), это каким образом их обучать и как проверять их соответствие доказуемой объективной действительности, ведь, эмпирически -- это, конечно, хорошо, но никогда не будет работать? Кроме того, тренировка моделей всё ещё требует миллиарды денег одного электричества, а используемая информация зачастую или максимально вырождена, или просто должна быть отсеяна, как не представляющая практической ценности. Про многоуровневую нелегальность использования информации не будем вспоминать.
> они из чего эту бесполезность выводят?Напишу про себя. Я технарь и ПРИВЫК, что если мне пытаются насаждать что-то нетехническими методами (спам, реклама, угрозы, подрывная деятельность), то это означает, что насаждаемая технология сама по себе бесполезна и без усиленного насаждения никому не нужна.
Это не значит, что технология бесполезна НА САМОМ ДЕЛЕ. Это лишь означает, что кто-то, кто форсирует её слишком сильно, вероятно, имеет больше прибыли с её насаждения, чем с её использования самостоятельно (например, в тайне от других, чтобы не выдавать конкурентное преимущество).
Если ты позиционируешь себя как инженера, научись отделять зерна от плевел и подходить к анализу с критической точки зрения.ИИ сейчас на хайпе, или, говоря по старославянски, в моде. Как и любая модная технология она обрастает слухам, легендами, псевдо-прогнозами и паразитами.
Когда какая-то компания заявляет, что научила свою сетку отвечать на вопросы программистов, нормальный инженер идёт смотреть, поможет ли ему эта технология сократить время и если да, то вместо копания статей на стэковерфлоу, переключается на неё; если нет – продолжает работать.
В противовес инженеру, каждый, уважающий себя желтушный журналист, бежит клепать очередную статью "ИИ заменит программистов, а потом и всех нас!".
А каждый, уважающий себя бизнесмен сразу делает "AI powered" продукт и начинает его пиарить, дабы быстро состричь максимум бабла с тех, кто читал журналиста.А когда мода пройдет, технология растворится в небытие или займет свое место в инструментах.
TL;TR: не ориентируйся на "насаждение", ориентируйся на собственный анализ.
Такое ощущение, что громче всех кричат два типа людей - которые считают, что AI может заменить всё и прямо сейчас, и те, кто считает что он совершенно бесполезен. Истина, как всегда, посередине.
Ну так "хоть в чем-то полезен" это уже признание полезности.
Я каждый день на работе пытаюсь найти чем он мне может быть полезен в написании кода.
Пока мало чем. Иногда нормально пишет бойлерплейт. Иногда нормально делает рефакторинг.
Но на большее оно пока не способно. Даже автодополнение периодически придумывается несуществующие функции! И это claude-3.7-sonnet (четверку пока не пробовал), который вроде должен был бы быть неплох.
Программисты как обычно считают себя центром мира
У меня вопрос к автору поста.
Почему всегда когда авторы подобных новостей постят в новостях ссылки по очередным CVE, на Fedora ссылка ведёт не на конкретную CVE и её статус, а просто вываливают в раздел security? И чем ползже прочитал новость, тем веселее копаться в этом болоте.И да, у вас ссылка на гентушный ресурс выдаёт:
'CVE-2025-37899' is not a valid bug number nor an alias to a bug.
Хотя бы проверяли свои ссылки перед тем как постите что ли.
> У меня вопрос к автору поста.
> Почему всегда когда авторы подобных новостей постят в новостях ссылки по очередным
> CVE, на Fedora ссылка ведёт не на конкретную CVE и её
> статус, а просто вываливают в раздел security? И чем ползже прочитал
> новость, тем веселее копаться в этом болоте.
> И да, у вас ссылка на гентушный ресурс выдаёт:
> 'CVE-2025-37899' is not a valid bug number nor an alias to a
> bug.
> Хотя бы проверяли свои ссылки перед тем как постите что ли.*не на гентушный, а на опенсусный*
Linux Kernel Guard бы спас от эксплуатации такого, не ?
>>В ветке 5.15, в состав которой был принят модуль ksmbd, проблема не проявляетсяЯдро 5.16 было выпущено в январе 2022
То есть бэкдор успешно проработал более 3 лет.
Ты не в ту сторону воюешь!На опеннете принято говорить о заговоре внедрения безопасных подходов и языков!
А говорить про перманентно дырявый сишный код и о целой бизнес экосистеме, построенной на продаже и использовании этих дыр, не принято.
> А говорить про перманентно дырявый сишный код и о целой бизнес экосистеме,
> построенной на продаже и использовании этих дыр, не принято.Решения суда в студию. По поводу хищения данных. Где чёрным по белому написано, что было хищение через эксплуатацию вот этой или той конкретной ошибки. Из любой страны мира. В противном случае - это всё просто беспочвенные выкрики. За которые, кстати, вас тоже можно подтянуть. За подрыв деловой репутации например. И за клевету. Хотите? Мне в суд подать? Или сами успокоитесь?
Если твои текущие медикаменты не помогают со стабилизацией менталки, которая не в состоянии адекватно воспринимать окружающий мир, то пора переходить на что-то более сильнодействующее.Крупные и не очень компании тратят огромные средства на борьбу с уязвимости, в том числе на покупку оных. Открывают программы bug bounty, организовывают конференции и соревнования по поиску дыр. Только ради того, чтобы как можно раньше их пофиксить и не допустить утечек на черный рынок, который, буквально, процветает: и правительства и частные компании охотно покупают инфу и щедро платят.
Но тебе нужно решение суда вот по этой конкретно дыре. Что у тебя в голове творится?
> Если твои текущие медикаменты не помогают со стабилизацией менталки, которая не в
> состоянии адекватно воспринимать окружающий мир, то пора переходить на что-то более
> сильнодействующее.
> Крупные и не очень компании тратят огромные средства на борьбу с уязвимости,
> в том числе на покупку оных. Открывают программы bug bounty, организовывают
> конференции и соревнования по поиску дыр. Только ради того, чтобы как
> можно раньше их пофиксить и не допустить утечек на черный рынок,
> который, буквально, процветает: и правительства и частные компании охотно покупают инфу
> и щедро платят.Знаем, проходили. https://samlib.ru/editors/b/bobylew_j_w/crisis.shtml
> Но тебе нужно решение суда вот по этой конкретно дыре. Что у
> тебя в голове творится?Да ничего. Презумпция невиновности, слыхали? Пока судом не доказано обратное, человек считается невиновным. Вы никаких доказательств ваших слов, кроме очередного пиар вброса, не предоставили. Т.е. это всё ложь и клевета.
И на всякий случай уточняю - вы отказываетесь прекращать делать то, что вы делали? Любой ответ, кроме "Я был неправ, прекращаю", будет восприниматься, как отрицательный. У меня возможности скромные, но, думаю, я не один, кому вы и ваша компания надоели, так что с судебным иском мы что-нибудь придумаем. Независимо от страны вашего пребывания. Да, кстати, адресок ваш, вашего начальства и ваших заказчиков не подскажете? Чтобы занятых людей зря не отвлекать на ваши поиски.
> Да ничего. Презумпция невиновности, слыхали? Пока судом не доказано обратное, человек считаетсяОткуда вы, такие (самодовольно-дремучие/необразованные/<вставить нужное>) беретесь, а?
1) "Черный маркт" для сплойтов существует уже не один десяток лет ...
2) In dubio pro reo и прочие презумпации невиновности - внезапно, не применяются в гражданском праве.
Именно отсюда, к примеру, растут "ноги успеха" всяких подвально-адвокатских контор, специализирующихся на штрафах за "нелегальное распростронение контента" - не надо доказывать _полностью_ виновность условного Васи, достаточно лога провайдера (т.е. в уголовном праве оно вообще не считалось бы за какое-то доказательство), с этого момента уже Вася должен доказывать, что "мопед не его" ...
> Откуда вы, такие (самодовольно-дремучие/необразованные/<вставить нужное>) беретесь,
> а?
> 1) "Черный маркт" для сплойтов существует уже не один десяток лет ...
> 2) In dubio pro reo и прочие презумпации невиновности - внезапно, не
> применяются в гражданском праве.
> Именно отсюда, к примеру, растут "ноги успеха" всяких подвально-адвокатских контор, специализирующихся
> на штрафах за "нелегальное распростронение контента" - не надо доказывать _полностью_
> виновность условного Васи, достаточно лога провайдера (т.е. в уголовном праве оно
> вообще не считалось бы за какое-то доказательство), с этого момента уже
> Вася должен доказывать, что "мопед не его" ...Эк вас набежало)) Боитесь? Правильно боитесь. Только не того ;)
Бояться кого?
Престарелого "недо капитана" которого выкинули с флота?
Который местная знаменитость прославившаяся бредовыми книжками и С++ парсеорм написаным на отшибись?
И угрожающий привлечь "нужных людей" чтобы найти анонов которые его троллят?Не сынок, это фантастика (с)
>Который местная знаменитость прославившаяся бредовыми книжкамиЭто интересно. Что там такого было написано?
> Знаем, проходили. https....А, то есть ты уже на опиатах. Тяжёлый случай.
> Презумпция невиновности, слыхали? Пока судом не доказано обратное, человек считается невиновным.
Я тебе про индустрию, ты мне про невиновность человека. Какого человека? Ты о ком?
Постарайся сосредоточиться и уловить нить разговора.> вы отказываетесь прекращать делать то, что вы делали?
Нет, я продолжу делать то что делаю. И тебе придется с этим смириться.
> Нет, я продолжу делать то что делаю.Хорошо, принято.
> И на всякий случай уточняю - вы отказываетесь прекращать делать то, что вы делали?Ага.
Пока дырявые любители небезопасных языков не прекратят бракоделить)> У меня возможности скромные, но, думаю, я не один, кому вы и ваша компания надоели, так что с судебным иском мы что-нибудь придумаем.
О! Я только за!
Только пожалуйста выкладывайте результаты на этом сайте!
Я сюда прихожу развлечься и это скрасит мои будни.> Да, кстати, адресок ваш, вашего начальства и ваших заказчиков не подскажете? Чтобы занятых людей зря не отвлекать на ваши поиски.
Не, пусть люди отрабатывают свою зарплату и ресурсы потраченные на обучение.
Иначе нафига они вообще нужны.
> Знаем, проходили. https://samlib.ru/editors/b/bobylew_j_w/crisis.shtmlОтличный пример манипуляции.
> Из номера научного медицинского журнала, опубликованного в 70-ые годы 20 века,
> извлекается письмо в редакцию от одного из читателей-врачей.Какого журнала? Название. Год. Номер.
> Ну т. е. разные, якобы независимые врачи — а на самом деле на зарплате у Пердью, пусть и
> не впрямую, чтобы не подкопаться было — начинают строчить статьи, что опиоиды не так опасны.Список фамилий предоставите? Ну и список их статей заодно.
> А «кадры», всё это одобрившие, через некоторое время увольняются из регулятора и
> устраиваются на работу… в Пердью.Тоже неплохо бы показать список фамилий.
> Проводятся конференции, где выступают настоящие врачи — где купленные,
> а где и поверившие в весь этот бред.Конференция это не шило в мешке. Списочек, пожалуйста, место, дата, программа.
> По разным данным от 200 до 500 тысяч погибших
По чьим оценкам? По "разным"?))
В общем забавный пример графомании - много текста и ноль пруфов.
Даже в более короткой заметке в ру-вики и то пруфов больше.
>Да ничего. Презумпция невиновности, слыхали? Пока судом не доказано обратное, человек считается невиновным. Вы никаких доказательств ваших слов, кроме очередного пиар вброса, не предоставили. Т.е. это всё ложь и клевета.С каких пор судьи стали специалистами по низкоуровневому программированию? А те, у кого такие компетенции есть, по судам не ходят, им и так всё очевидно.
>Если твои текущие медикаменты не помогают со стабилизацией менталки, которая не в состоянии адекватно воспринимать окружающий мир, то пора переходить на что-то более сильнодействующее.Увы, подбор медикаментов дело не быстрое. Плюс, их могут отменить из-за побочек, например, на сердце. А в течении всего этого времени будет то, что есть.
Ого, проХФЕссор, чего у вас так бомбануло?Вот вам пример, правда без ваших маразматичных требований про решение суда)
Итак, на арене нашего ядра Грязная Корова! Она же CVE-2016-5195, она же "Dirty COW".
opennet.ru/opennews/art.shtml?num=45354"Позволяющая непривилегированному локальному пользователю повысить свои привилегии в системе... простота проведения атаки (экплоит не зависит от особенностей окружения)"
Есть работающий экслойт
github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.cЕсть сведения "о длительном использовании данной уязвимости злоумышленниками до исправления проблемы (проблема была выявлена на основе изучения перехваченного эксплоита)"
bugzilla.redhat.com/show_bug.cgi?id=1384344#c16
Ну... когда кого-то поломали, тогда и начали шевелиться."Уязвимость присутствует с 2007 года и проявляется в ядрах Linux, начиная с выпуска 2.6.22" А нашли ее в 2016ом.
Ядра с 2.6.38 по 4.14О... чувствуете этот запах? Так пахнут отсталые недоязыки из прошлого тысячелетия!
Кто-то скажет "ну нашли и починили, чего бухтеть-то!".
Но это не конец истории.
В 2017м нашли... да! еще один вариант уязвимости. Просто закрывальщики уязвигмостей не осилили обработать все векторы атаки.
opennet.ru/opennews/art.shtml?num=47672На ладно, корову отмыли, подумаешь, с кем не бывает, даже два раза...
На сайте kernel.org два года был бекдор, который с высокой долей вероятности как раз использоватл эту самую COW!
https://www.opennet.dev/opennews/art.shtml?num=61186Можете подавать в суд на меня, ESET, разработчиков kernel.org и даже на бракоделов из ядра)
С учётом того, что оно шиш где включено вообще...
> С учётом того, что оно шиш где включено вообще...А... ну раз мало где включено, то все норм.
Расходимся пацаны, тут оказывает нет никакой проблемы.
возможно в 5.16 тоже нет этой дыры, просто 5.15 -- это LTS ядро, которое до сих пор поддерживается.
Нет, потому что ядра свежее четырёх нет (да и вообще софт свежее четырёх лет), никто из разумных опытных людей не ставит.
Как и было задуманно
То есть он нашёл уязвимость САМ, а потом уговорил AI, думаю далеко не с первого раза, найти её точно зная где она есть, отбросив куча ложных срабатываний и рассуждений ни о чём.
Пока выглядит сомнительно и малоэффективно.
> Пока выглядит сомнительно и малоэффективно.А суть не в этом. Вы выше посмотрите комментарии, где Ржавые резвятся, и на соседнюю новость, про компилятор. И всё сразу станет понятно - кто, что и зачем. Это называется маркетинг и пиар компания. Единственно, что интересно - кто конкретно за всем этим стоит. Деньги то, судя по всему, в пиар-компанию вбрасываются немалые. И не один год уже.
Я читаю новость, а не комментарии проплаченных идиотов и идиотов которые им подражают.P.S. Вот только любопытно, а сколько им платят?
Не думаю что больше нескольких рублей за комментарий.
> Я читаю новость, а не комментарии проплаченных идиотов и идиотов которые им
> подражают.А что новость? Ну использовал кто-то ИИ в качестве статического анализатора кода, ну и что? Массовым это всё равно никогда не станет. Во-первых, потому что ненадёжно - модели всё равно строятся на чём-то существующем, написанном людьми. Т.е. там гарантированно будут ошибки. Во-вторых, это просто неэффективно. Это пока все эти ИИ пиарят - оно круто. Потому что нужно сделать так, чтобы кто-то, кто ворочает деньгами "завязал" на это свои "бизнес-процессы". А потом начнут счета приходить. Потому что как устроен любой ИИ? Это множество ядер процессоров и слотов памяти. Электроэнергии это всё потребляет столько, что нужно собственную ТЭЦ рядом ставить. И тепла заодно выделяет столько, что пару многоквартирных домов можно зимой отапливать. Дальше начинаются игры с разными вариантами формирования баз данных, их распределения с целью наибольшей скорости перебора и алгоритмами перебора. Но суть остаётся в большом количестве вычислительных мощностей.
Оно даже полезно - в науке например, где нужно большие массивы данных перелопачивать. Однако для массового сегмента - нецелесообразно.
Для тестирование почти любого сетевого приложения достаточно трёх машин. Одна - как сервер, другие - как клиенты, в зависимости от поставленных задач. Дальше вы просто начинаете гонять на этом всём все возможные варианты использования той или иной программы. С использованием обычных отладчиков кода. Можно заморочиться, и написать дополнительно программы, чтобы оно всё делалось в автомате и логи ошибок/падений писало. Даже если у вас нечто суперсложное, дня за три в таком режиме вы отловите всё, что там есть. А то, что не отловите - да и интернет с ним, этого всё равно не найдёт даже самый продвинутый ИИ. Потом, когда в массовое использование выйдет - поправите.
>> Я читаю новость, а не комментарии проплаченных идиотов и идиотов которые им
>> подражают.
> А что новость? Ну использовал кто-то ИИ в качестве статического анализатора кода,
> ну и что?
> Массовым это всё равно никогда не станет.Если модель сама находит подобные уязвимости то это здорово и в последствии это станет массовым.
> Во-первых, потому что ненадёжно ..
ChatGPT тоже не надёжно, но многие пользуются, включая меня, и если понять когда он глючит, когда нет, научится проверять его и задавать правильный правильные и правильно сформулированные вопросы, то это помогает и экономит кучу времени!
Тем более AI совершенствуется и если кому-то лет 5 назад сказать о том что ChatGPT может сейчас, то просто бы покрутили пальцем у виска.> Для тестирование почти любого сетевого приложения достаточно трёх машин...
В теории. Если бы это было применимо на практике, то уязвимостей уже или вообще бы не было или их было бы в разы меньше. Но тендеции к снижению пока не наблюдается.
А если GPT через 5 лет сможет уже сам в среднем по размеру коде определять такие уязвимости, то это будет очень здорово, и 3-ёх машин не понадобится.
многим ChatGPT отключил критическое мышление о чем писали сами мелкомягкие
Это не проблема: у многих его и не было
> многим ChatGPT отключил критическое мышление о чем писали сами мелкомягкиеПодставь вместо ChatGPT телевизор, калькулятор, компьютер, телефон, соцсети, ютуб и ничего не изменятся!
Если у людей его нету изначально, то он тут не причём.
А многим людям у которых есть критическое мышление, включая меня, он и все вышеописанные инструменты, помогли сэкономить кучу времени и улучшить мои навыки и качество жизни!
Хехе, а "раньше было лучше" люди не смотрели рентв про анунаков с нибиру, не распространяли бред про вредность вакцин и чипирование, не нечились народными методами засовывая огурцы туда-где-солнце-не-светит...
Все были грамотные и с критичным мишъ-лением.
И тут придумали ЖПТ и всех испортили!Напомню что в стране с самым луДШим образованием народ заряжал воду от телевизора)
> Если модель сама находит подобные уязвимости то это здорово и в последствии
> это станет массовым.Модель может находить что угодно. Весь вопрос в затрачиваемых на это ресурсах. Рядом с подобными новостями нужно сразу писать - сколько киловатт электроэнергии на это всё ушло. И тогда сразу всё станет понятно.
> ChatGPT тоже не надёжно, но многие пользуются, включая меня, и если понять
> когда он глючит, когда нет, научится проверять его и задавать правильный
> правильные и правильно сформулированные вопросы, то это помогает и экономит кучу
> времени!Да что вы говорите... А может лучше это время на тренировку собственного мозга потратить? Путём обдумывания и анализа поставленной задачи, использованных методов решения и полученных результатов? ;) И всё равно ведь всё тестировать придётся. Что с ИИ, что без него. Так зачем тогда тут ИИ? Если на тестах всё вылезет так или иначе.
> Тем более AI совершенствуется и если кому-то лет 5 назад сказать о
> том что ChatGPT может сейчас, то просто бы покрутили пальцем у
> виска.😂 Извините, не удержался. Тем, кто "в теме", оно всё было ясно ещё тридцать лет назад, просто тогда вычислительных мощностей на такое не хватало. С тех пор в плане технологий принципиально не изменилось ничего - в процессорах всё те же транзисторы работают, в памяти всё те же конденсаторы. И быстродействие всего этого упёрлось в потолок с десяток лет назад. Дальше работали над уменьшением размеров, чтобы на одну плату можно было запихнуть больше ядер. Но и тут облом - опять таки упёрлись в потолок. Физика - она такая. Несговорчивая)) Теперь просто экстенсивно наращивают количество плат и слотов памяти. И тут опять же облом будет, или даже уже. Потому что размеры датацентров бесконечно наращивать не получится - удлиняются линии связи, падает скорость перебора, растут потери энергии. А КПД всего этого дела и раньше был не очень высокий. Я думаю вся эта эйфория по поводу ИИ продлится ещё лет пять максимум (а скорее - гораздо меньше), кто первый успел - снимут миллиардные прибыли. Точнее - уже сняли. А дальше: поживём - увидим. У нас сейчас совсем другие проблемы на повестке дня стоят - тут мировая война очередная разворачивается и кризис капитализма в полный рост. Я думаю, вы это уже на себе прочувствовали (не иронизирую, если что - сочувствую).
> В теории.
Без всякой теории - у меня в этом есть кое-какой опыт.
> Если бы это было применимо на практике, то уязвимостей уже
> или вообще бы не было или их было бы в разы
> меньше. Но тендеции к снижению пока не наблюдается.
> А если GPT через 5 лет сможет уже сам в среднем по
> размеру коде определять такие уязвимости, то это будет очень здорово, и
> 3-ёх машин не понадобится.Фокус в том, что три машины за трое суток работы потратят гораздо меньше электроэнергии, чем любой ИИ на проверку того же кода, пускай и быструю. При этом результат работы ИИ всё равно придётся тестировать. В том же объёме, что и без ИИ. Потому что нет никаких гарантий, что ИИ нашёл всё. А уж нагенерированный ИИ код - обнять и плакать.
> Да что вы говорите... А может лучше это время на тренировку собственного мозга потратить? Путём обдумывания и анализа поставленной задачи, использованных методов решения и полученных результатов? ;) И всё равно ведь всё тестировать придётся. Что с ИИ, что без него. Так зачем тогда тут ИИ? Если на тестах всё вылезет так или иначе.Даже не знаю как по мягче ответить.
Во первых одно другому НЕ мешает и это делается независимо друг от друга.Во вторых, вы, видимо, совершенно НЕ понимаете как использовать chatGPT и то что он может выполнять тысячи, если не миллионы разных задач, на изучение, обдумывание, анализ полученных результатов у вас или кого-нибудь и ста жизней НЕ хватит!
Например, возьмём автомобиль Москвич 2140 (можно и иномарку но я в них совершенно не разбираюсь), сколько у вас времени займёт изучить, освоить и и всё что вы написали чтобы разбираться во всех тонкостях ремонта, тех обслуживания, улучшений, поиска аналогичных деталей, а также в разборе какие аналоги хорошие а какие плохие?
Сколько вам понадобится времени для этого?
Ответ будет, в лучшем случае, в единицах лет, при том что вы всю свою жизнь только этим и будете заниматься и ничем другим!
Когда анализ интернета, ютуба и ChatGPT может занять несколько часов и помочь самостоятельно, малозатратно и надёжно решить проблему.
И таких повседневных задач тысячи, если не миллионы, от того как снять дверную ручку определённой конструкции, до того как правильно строить дом.> Фокус в том, что три машины за трое суток работы потратят гораздо меньше электроэнергии, чем любой ИИ на проверку того же кода...
Я в этом НЕ спорю и НЕ спорил!
У меня суть в другом, в уменьшении уязвимости в открытых продуктах!
В открытых продуктах, КАЖДЫЙ кто вносит вклад должен иметь настроенную тестировочную систему из нескольких компов, должен уметь её обслуживать, и конфигурировать под разные задачи. Но это не возможно на практике!
То что вы сделаете это со своей стороны не сильно повлияет на ситуацию в целом.
Я про это говорил.А также мне и другим плевать сколько энергии в СШП уйдёт у Маска на поддержание AI если я совершенно бесплатно могу использовать это в своих целях чуть ли не на калькуляторе, выполняя свои задачи, сокращая время на их выполнение и повышая качество!
Вот в чём суть, а также в том что этот инструмент бесплатен, доступен и универсален, хоть и имеет свои нюансы.
А ваш способ ускоспециализирован, сложен и затратен для обычного разработчика и требует всего выше перечисленного.Ещё раз, я НЕ говорю что такие ускоспециализированные способы QA тестирования бесполезны, напротив они полезны там где это нужно на выходе какого0нибудь своего продукта.
Но он не гарантирует отсутствие уязвимостей даже в вашем продукте и не подходит для повсеместного и универсального использования.Одно другое дополняет и НЕ исключает!
> Массовым это всё равно никогда не станет.Уже стало.
Дальнейший текст не актуален.
> Уже стало.По вашим словам.
> Дальнейший текст не актуален.
Слушай, ты хоть голову-то помой! Чё с грязной головой на людях показываешся?!
>Вы выше посмотрите комментарии, где Ржавые резвятся, и на соседнюю новость, про компилятор. И всё сразу станет понятно - кто, что и зачем. Это называется маркетинг и пиар компания. Единственно, что интересно - кто конкретно за всем этим стоит. Деньги то, судя по всему, в пиар-компанию вбрасываются немалые. И не один год уже.И это говорит крестовик, написавший кривой xml парсер. Мне вот интересно, это что, воздух такой вредный или что? Почему люди видят заговор там где его нет, а вот колосальную дырень у себя под носом - нет? При чём массово. Были бы вы просто некомпетентны, можно было бы вам сказать: "прочитай то-то и то-то". Но нет, даже если таким как вы назвать технологию, такие как вы далеко не с первой попытки даже прочитают что это такое, не говоря про использование.
> И это говорит крестовик, написавший кривой xml парсер.А что я?)) Это вы филоните, тестированием не занимаетесь, баг репорты не пишите. У меня времени не хватает на всё ;)
> Мне вот интересно, это
> что, воздух такой вредный или что? Почему люди видят заговор там
> где его нет, а вот колосальную дырень у себя под носом
> - нет?Где заговор?)) Я лично вижу чьи-то бизнес-интересы. В чём они заключаются - тоже примерно понятно. Я лишь пока не пойму - кто конкретно за этим всем стоит. Это ведь не один год нужно людям деньги платить, чтобы они на форумах в режиме 24/7 комментарии строчили. И не только в русскоязычных, что характерно. Я ваши расценки не очень хорошо знаю, но судя по масштабу речь идёт о суммах с 6 нулями. В "вечнозелёных". Круг "подозреваемых" тоже в общем понятен. Тут скорее интересно - это кто-то один, или договорились между собой? Лично я думаю - договорились, но тут покопать нужно. Может вы чего расскажете? Вам всяко больше известно, чем мне.
> При чём массово. Были бы вы просто некомпетентны, можно
> было бы вам сказать: "прочитай то-то и то-то". Но нет, даже
> если таким как вы назвать технологию, такие как вы далеко не
> с первой попытки даже прочитают что это такое, не говоря про
> использование.🥱
> Я лично вижу чьи-то бизнес-интересыА кроме бизнес-интересов вы ничего не замечаете?
Ну не знаю... может что мир изменился за последнее время. Почти все стало к инету подключено. Дыры искать стало намного легче. Кодовые базы стали больше, но совсем не лучше.
Или намного проще все свести к бизнес-интересам?> Может вы чего расскажете? Вам всяко больше известно, чем мне.
Профессор, встречный вопрос - а кто платит линуксоидам, которые приходя практически куда угодно сразу начинают пытаться впарить линукс?
Или напр. вимервы/емаксеры (разница невелика - просто м... сорта).
Как ни новость про любой редактор/IDE - так они тут как тут со своим "идеальным" решение.
Неужели им тоже платят?! Чего же они до сих по на кор-2-дуо сидят...
>мир изменился за последнее время. Почти все стало к инету подключено.в снг инет получил широкое распространение еще в нулевых а ржавый начали форсить только последние лет пять
>Дыры искать стало намного легче
не помню чтобы были какието невероятные иновации в допустим статических анализаторах за последние несколько лет
>Кодовые базы стали больше, но совсем не лучше
и взамен адeпты предлагают невыразительную и заставляющую писать тонну бойлерплейта хрустяшку да))
>а кто платит линуксоидам, которые приходя практически куда угодно сразу начинают пытаться впарить линукс?
это только в манямире на самом деле среди "линуксоидов" соотношение адeптов к обычным юзерам пренебрежительное в отличии от "сообщества рaста". этим и подтверждается факт умысла в формировании сeкты
>Или напр. вимервы/емаксеры
вообще несопоставимо по масштабам
>Неужели им тоже платят?!
не платят конкретным адeптам - значит платят так называемым "лидерам мнений" которые этих самых адeптов взращивают. заносят гранты чтобы разрабатывали на "правильном" япе и тд
> Я ваши расценки не очень хорошо знаю, но судя по масштабу речь идёт о суммах с 6 нулями.Профессор, вы как расследование закончите, контактам поделитесь, пожалуйста. Вам же все равно не нужно – вы по другую сторону баррикад, а нам приятно. Домики себе на берегу моря прикупим, яхточками обзаведёмся...
За миллионы долларов я даже к вам примкнуть готов! Буду говорить, что надо писать на С, ибо там свобода и новые горизонты познания, что Раст как пришёл, так и уйдет, а С вечен!
И прочая и прочая, что там ещё в методичке будет.
Двачую. У меня тут острая нехватка дома у океана.
>Это вы филоните, тестированием не занимаетесь, баг репорты не пишитеЯ вам весьма подробно рассказывал про недостатки вашего парсера, и даже кидал ссылку на нормально сделанный парсер. Вы ещё скажите код за вас писать. Если бы вы хотя бы в первой теме признали бы свою неправоту, то я сказал бы вам, как это исправить. А так, надо запасаться попкорном, и смотреть, что вы новое напишите. Увы, в крестах я не разбираюсь, а то иначе ещё что-нибудь интересное бы нашёл. Ах да, у вас же БД есть. Надо будет посмотреть, как она сделана.
>Я лично вижу чьи-то бизнес-интересы. В чём они заключаются - тоже примерно понятно.Да, например интересы всяких чёрных хакеров, и спецслужб, взламывающих айфоны. Вот пишут на сишке - всё хорошо, нулевого дня так много, что можно даже конкурентам слить.
... но воз и ныне там (поэтому Сэм Альтманом крайне недовольны инвесторы)
> Единственно, что интересно - кто конкретно за всем этим стоит. Деньги то, судя по всему, в пиар-компанию вбрасываются немалые. И не один год уже.Да, мне тоже интересно. Я б с удовольствием позарабатывал денег разводя флуд на опеннете. Почему-то никто не хочет платить за это.
> Почему-то никто не хочет платить за это.Значит даже пиарщикам вы не нужны - повод задуматься ;)
Всё контакты у профессора, надо его трясти!
Где ты это прочитал и каким органом?
Последние 2 абзаца!
Перечитай их ещё раз, особенно самое последнее предложение, потом вернись к началу статьи.
> При этом модель нашла проблему сама лишь на основе общего запроса, просившего проверить наличие уязвимостей в коде, сделав акцент на проверке висящих указателей и обращений к памяти после её освобождения, исключив при этом ложные срабатывания и гипотетические проблемы.Гениальное предложение, понимай как хочешь, особенно усиление/ослабление "лишь".
Можно понять что она сама справилась, а можно что справилась она лишь после того как ей подсказали.А далее про то как Шон сам находил уже НОВЫЕ уязвимости.
Да спросонья и не разберёшься.
вы - не справились с чтением текста.
у вас случилось ложное срабатывание, или галлюцинация, а ваш комментарий рассуждение ни о чем.перечитайте:
Перед поиском новых уязвимостей, Шон протестировал разные модели на предмет определения уязвимости CVE-2025-37778 в ksmbd, ранее выявленной им в ходе ручного аудита и устранённой в обновлении ядра 6.15-rc3. Модель o3 успешно справилась с заданием и показала наиболее близкий к ручному аудиту результат, после чего Шон переключился на эксперименты по поиску ранее неизвестных уязвимостей.
и:
В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена уязвимость (CVE-2025-37899),
обратите внимание на номер.
> То есть он нашёл уязвимость САМ, а потом уговорил AI, думаю далеко не с первого раза, найти её точно зная где она есть, отбросив куча ложных срабатываний и рассуждений ни о чём.Попробуй перечитать новость и понять, что в ней написано. ИИ кстати текст читает и понимает гораздо лучше людей, и так как ты не лажает.
Это на самом деле самое смешное - смотреть, как люди, ругающие ИИ, прям в процессе ругания рассуждают хуже, чем ИИ и галлюцинируют хуже, чем даже самые дешёвые ИИ.
Касательно интерпритации неоднозначного предложения я написал выше и признал свою ошибку.Касательно того что ChatGPT (даже самые дешёвые AI) понимают текст лучше людей, вы сильно ошибаетесь!
Он в некоторых случаях не только через задницу понимает, но и ответить может через то же место о чём его и не спрашивали.
Так что этого бреда мне можете не рассказывать.
И без AI понятно, что при подобных реализациях будут проблемы, ибо описанные детали реализации есть говнокод обыкновенный
его же нет нигда по умолчанию?
Первый случай дествительно полезного применеия AI для собственных нужд ITшки.
Так может AI его туда и добавил?
Bug для самооправдания собственной нужности?
Весь айти сейчас ИИ для ускорения разработки применяет и только на opennet люди продолжают отрицать реальность.Всё что связано с AI\LLM развивается очень быстро только потому что это полезный инструмент. Полезный как для ускорения разработки, так и для анализа большого массива текстовой информации. Это ещё до всяких gpt использовали, но появление современных LLM сильно увеличило эффективность и снизило цену.
А где вы видели, чтобы вот прямо отрицали совсем?На самом деле вопросов по этому вопросу нерешённых море: по доверию к моделям, свободности этих моделей, выполнению обучения на неподконтрольном вам оборудовании, выполнению обученного на том же. И всё это вызывает вопросы доверия к такому сбацанному AI коду.
Новость полезная - ИИ нашел дефект в открытом коде. Но удручает другое. Практически весь открытый код, на котором обучается ИИ, мягко говоря, не хорош. Особенно код ядра. Какой же код будет предлагать ИИ помощник? Ответ очевиден. Мы находимся на историческом этапе, отличающемся от предыдущего тем, что раньше хотя бы было стремление к улучшению качества кода, сейчас - его деградация.
Что?
Расскажите когда это было "стремление к улучшению качества кода" ?
А то я как-то за последние 20 лет не застал.Диды овнокодлили, лишь бы побыстрее и чтобы как-то работало.
Джуны приходили, смотрели в код и повторяли за дидами.
Через 15 лет выжившие джуны становились синьорами и продолжали овокодить.
> Расскажите когда это было "стремление к улучшению качества кода" ? А то я как-то за последние 20 лет не застал.Могу определенно утверждать за себя и своих товарищей примерно с 1970 года. Учились на лучших опубликованных источниках и исходниках, как правило, американских. А позже ... Было непонятно, по какой причине (повод - якобы негде хранить) в библиотеках были где розданы, где уничтожены все книги по математике, статистике и программированию примерно до 2005 года, а также уничтожены тематические каталоги научных отчетов. Были даже рекомендации деканата не использовать для составления лекций более ранние источники. Например, по моей теме (теория принятия решений, теория игр, математическое программирование и смежные темы) в библитеке нашего универа оказалось, что нет ни одного источника. Так что действительно, Вам и Вамшим коллегам учиться было не на чем.
Россия, а до неё, СССР, никогда не была локомотивом информационных технологий. Первенство было у американцев. Да, период 2010 - 2020 у нас был шанс ворваться в авангард, но, спасибо реформам, теперь его нет и мы снова в догоняющих.
Всё основные тенденции развития (и деградации) сферы it идут из Америки. И там никогда не было стремления к улучшению кода. К оптимизации и ускорению процессов разработки и внедрения – да, к наращиванию мощностей и сфер влияния – да. Качество – нет. Ну кроме отдельных отраслей, где безопасность на первом месте; и то, там начинают шевелиться после публикаций о смертельных случаях.PS: не упомянул прогресс китайцев за последние годы, но они пока тоже в роли догоняющих, хотя шансы вырваться вперёд у них высоки.
> Первенство было у американцев.Не совсем так. Напритмер, беру описание SSP от IBM. Не нравится. Делаю свои алгоритмы. Получаю, что мои эффективнее на 15%. Ну круто.
А так - наука интернациональна, как бы не хотелось кому-то там, тут и сбоку считать иначе.
А если проверить на наличие ошибок)?
Я уже насмотрелся на "инновационные решения" которые после исправления всех недоработок начинали тормозить от 20 до 50%.
Зато как щеки надувались))
"Первенство" в индустрии, это не когда ты сделал лучше, а когда все используют твои стандарты.А когда сделал алгоритм быстрее... Ну, молодец, чо. Тебя либо купят, либо сделают так же и будут продавать как своё.
> А так - наука интернациональна
Тонкий момент. И да и нет. Но спорить не буду. Мой тейк про отрасль. Оно точно не интернационально.
> Россия, а до неё, СССР, никогда не была локомотивом информационных технологий.Хохoл это всегда манкyрт. Аксиома. Вот поэтому будем убивaть вaс всeх до полного истребления физических носителей вируса "укpaинства". В любой точке планеты вceх найдём и убьeм.
О, потреоты подъехали.
Давай, расскажи мне, как российские ИТ инновации бороздят мировой океан. Может я чего не знаю о собственной стране.
>Могу определенно утверждать за себя и своих товарищей примерно с 1970 года. Учились на лучших опубликованных источниках и исходникахЯ посмотрел на несколько решений Вирта, и с высоты сегодняшних дней удивлён тем, что его никто не остановил. То добавит for, то удалит. Так что у меня есть огромное сомнение, что учась на том, что было, можно научится хоть чему-то хорошему.
>А то я как-то за последние 20 лет не застал.Ты за последние 20 лет только родиться успел.
Мне интересно, когда "настоящие" сишники научатся пользоваться статическим анализатором, что словит 99% подобных "уязвимостей" и поводов любителям ржавчины показать пальцем.
PиVаC Studio не пользуюсь.
Боюсь никогда)
Мне местные аска-калы дыряшки рассказывали, что ржавчина отстой, тк компилируется долго.
И типа "я не буду ждать 10 минут, я код закоммичу и пойду решать другую задачу!!"
> пользоваться статическим анализаторомИмея опыт и профильное высшее образование (базу по информатике и computer science), даже статический анализатор будет излишним. Просто программисты выродились, дедушки уже давно отправились на покой, молодёжь в основном после курсов приходят из "вэб-разработки" с соответствующими "знаниями". Я уже на пенсии и я ещё застал в нашей конторе зумеров (примерно лет 10 назад), которым по хорошему надо бы идти в ПТУ гайки крутить, а не программировать.
В период, о котором я говорил выше, навыками программирования обладали все выпускники инженерных и других реальных специальностей. Программирование считалось не профессией, а умением и у некоторых талантом. Не думаю, что сейчас (в одном лице) кто-то из молодых может из физических принципов вывести математические формулы, запрограммировать их и получить решение задачи, причем наиболее эффективным методом. Мы можем.
> навыками программированияТолько НАВЫКАМИ, что можно называть обыкновенным КОДИНГОМ, но не программированием. Программирование это решение задачи, в т.ч. придумывание алгоритмов, бизнес-логики, умение связать всё воедино в законченный продукт и т.д.
> Только НАВЫКАМИ, что можно называть обыкновенным КОДИНГОМ, но не программированием.Не скажите. Вам дают курсовую - расчет панели крыла методом конечных элементов (по строительной механике самолета) или расчет крыла на флаттер (по аналитической механике), или тепловой расчет тонкостенного цилиндра с подкреплениями (по теории упругости) - понимаете, о чем речь. Формулы в-основном есть, но не всегда. Необходимо обеспечить ввод-вывод, всю математику (линейную матричную алгебру) - собственную (!) т.д., и т.п. - словом фактически самостоятельно сделать программный продукт без использования каких-то фреймворков. Тут уже не о знании языка программирования речь, а об умении думать на нём.
> Необходимо обеспечить ввод-вывод, всю математику (линейную матричную алгебру) - собственную (!) т.д., и т.п. - словом фактически самостоятельно сделать программный продукт без использования каких-то фреймворков. Тут уже не о знании языка программирования речь, а об умении думать на нём.О да! Я видел такой код не раз! Он снится мне в кошмарах.
Эти люди потом приходят на работу. Нормальную, где надо писать код, который работает всегда.
Хорошо если молодой – за полгода/год можно натаскать.
> Хорошо если молодойМолодой - это в 99% тиктoчно-aйфонный биoмусоp, которому место в ПTУ бoлты крyтить, а ещё лучше (полезнее для общества) - на Kолымe с киpкой.
Молодой – это пластилин, результат зависит от скульптура. Нет говори за всех
>Вам дают курсовую - расчет панели крыла методом конечных элементовЭто работа на уровне машинистки - перевести формулы в код, не приходя в сознание. Научит ли это вас управление памятью? Конечно же нет.
>всю математику (линейную матричную алгебру) - собственную (!)Как хорошо, программист знает алгебру. Поймёт ли после этого очередной кодер, в чём проблема нулевых указателей? Нет, ибо ему важнее, это не интегралы и производные.
>словом фактически самостоятельно сделать программный продукт без использования каких-то фреймворков.Иными словами, реализовать свой собстенный велосипед. И студенты привыкают тащить в каждый проект велосипеды. Вон, сишники постоянно изобретают то строки, то хештаблицы. И никак не могут изобрести нормальные, чтобы все им пользовались.
>Тут уже не о знании языка программирования речь, а об умении думать на нём.Теперь понятно, почему программисты без проблем могут написать какой-нибудь кад, но не могут без уязвимостей реализовать что xorg, что screen. Их тупо не научили программировать.
Ой, да ну хватит уже играть в этот дешёвый элитизм!
У меня тоже и опыт и профиль и вышка и прочие высокодуховные слова.
Пора принято тот факт, что сложность современных систем превысила ментальный порог осознанности, необходимый для разработки систем. Надо отдать контроль корректности машине и сосредоточиться именно на сути задачи. А куча проверок, которые могут быть автоматизированы, _должны_ быть автоматизированы. Это и облегчит задачу человеку и повысит качество работ.Дедушки, которые ушли на пенсию, писали код не лучше, чем пишут сегодня джуны – до сих пор находят баги, которым, по возврату, уже алкоголь можно продавать. И это результат работы тех самых "дедушек".
> Карлос СношайтилисЖёлyдь будешь чубaтaя твapь?
> чубaтaя твapь?Хороший ник, надо взять на вооружение
> Имея опыт и профильное высшее образование (базу по информатике и computer science), даже статический анализатор будет излишним.Хахаха. Он будет лишним, но по другой причине.
Потому что вероятьность того, что он не найдет ошибок слишком велика.Вот целая куча дыреней в OpenSSL/LibreSSL
www.opennet.ru/opennews/art.shtml?num=58622
чтение из области вне границ буфера, Use-after-free, двойное освобождение памяти, некорректное разыменование указателя, разыменование указателя NULL (x2)...
В общем типичный набор + одна логическая проблема, которая решается нормальными типами в нормальных языках.При этом ворнинги включены, оба проекта обмазаны санитайзерами по самое немогу - и memory, и thread, и еще куча других github.com/openssl/openssl/actions/runs/4124496105
Даже фаззинг какой-то есть.
И что?) Помогли, сынку, тебе твои анализаторы?) Как тогда они смогли собрать практически полное булщит-бинго?> Просто программисты выродились, дедушки уже давно отправились на покой, молодёжь в основном после курсов приходят из "вэб-разработки" с соответствующими "знаниями".
Вранье.
Кто наовнокодил в ХОрг ошибки 1988 года выпуска? opennet.ru/opennews/art.shtml?num=59906
Или вот это opennet.ru/opennews/art.shtml?num=62795
1991, 1994, 1996 годы.Неужели смузихлебы изобрели машину времени и навалили кучу кода прямо дидам в штаны?
> Я уже на пенсии и я ещё застал в нашей конторе зумеров (примерно лет 10 назад), которым по хорошему надо бы идти в ПТУ гайки крутить, а не программировать.
Вот тебе пример не зумера. А самого настоящиго дида, я бы сказал, акСИ-кала разработки ядра: Теодор Тцо один из первых программистов для ядра работающий с 1991 года.
thunk.org/tytso/
А теперь микрофон и все лавры передаются ox55ff с лора
"в 2013 году он закоммитил вот такую портянку github.com/torvalds/linux/commit/dc6982ff4db1f47da73b1967ef5302d6721e5b95Через 9 лет (2022 год) тысячи глаз наконец-то рассмотрели там уязвимость CVE-2022-1184.
Которую смогли исправить только со второй попытки:
первая github.com/torvalds/linux/commit/65f8ea4cd57dbd46ea13b41dc8bac03176b04233
вторая github.com/torvalds/linux/commit/61a1d87a324ad5e3ed27c6699dfc93218fcf3201ext4: check if directory block is within i_size
Бгг. Видимо Теодорчик решил, что в его коде всё within, ведь "индекс проверять надо если программист решил что тут есть шанс того, что он окажется некорректным", а оказалось, что не within. Это какое-то шанс-ориентированное программирование. Сишник к успеху шёл, не получилось, не фартануло.
Так что не надо рассказывать старческие байки "раньше было лучше".
Каждый сишник, пользующийся статическим анализатором, это латентный растовик. С нулевых прошло уже много времени, уже неоднократно можно было разные варианты раста придумать. Так что никогда.
А, ха-ха-ха! Растаманы закапывайте Раст! Он больше не нужен!