Я конечно припозднился, однако новость очень интересная. Во всяком случае, я потратил несколько лет жизни в этой компании.Статью прочитал. Остаются вопросы.
1) Кто такой Евгений Левашов?
Ну окей, я понял, что он IT-райтер из Калининграда, что много и давно пишет. Но во всяком случае именно на его статью "11 лучших программ с открытым исходным кодом в 2020 году" ссылается исследование.
https://levashove.ru/11-best-open-source-software/
Но почему выбрали именно его статью? Он райтер. Не хакер, не специалист в области кибербезопасности, не менеджер крупного проекта. Он просто обозреватель.
В статье автор просто составил список программ, которые ему нравятся, и сформировал эдакий Топ-11. Он не утверждал, что это самые безопасные или безбажные программы. Это именно что "11 лучших, на мой взгляд, программ" (цитата).
В общем, не понятно, почему была сделана именно такая выборка, и какова её репрезентативность.
2) Основанием для выбора именно этих программ для исследования было обозначено, цитирую: "основными критериями для включения приложений в обзор его автор обозначил популярность среди пользователей и безопасность, сославшись на многочисленные поддерживающие приложения комьюнити."
Ничего подобного этот самый Левашов не писал. Цитирую первый абзац статьи Левашова: "Почему стоит использовать программы с открытым исходным кодом? Во-первых, они бесплатны. Во-вторых — безопасны, так как их разработку поддерживает и проверяет большое комьюнити по всему мире. Вот 11 лучших, на мой взгляд, программ."
Переврали так переврали.
3) Большая часть статьи ни о чём. Ну как ни о чём. Она содержит совершенно корректную информацию о типовых уязвимостях и рекомендации разработчикам, как их избежать. Все мы и так о них в курсе. Эта информация к теме статьи не имеет отношения. Стало быть целевая аудитория статьи -- это не специалисты в области ИБ.
4) Авторы статьи делают весьма противоречивые выводы. "Исследование защищенности популярных приложений для ПК с открытым исходным кодом показало, что в целом выбранные приложения демонстрируют уровень защищенность выше среднего по отрасли показателя в 2.2 балла".
Я очень сомневаюсь, что слово "популярные" уместно употреблять по отношению к программам из данного списка. Brave и Libre Office -- окей, тут вопросов нет. Но многим ли юзерам нужен графический редактор типа GIMP или Krita? У них весьма узкая аудитория. TestDist, Dia, BleachBit, Notepad++, Search Everything, RetroArch -- нет, ну вы серьёзно что ли? Да бьюсь об заклад, что большинство посетителей opennet -- вроде бы не таких уж далёких от СПО людей -- наверняка услышали о большинстве из них впервые.
5) Оценка, выставляемая Solar appScreener, явно нелинейно зависит от количества и типа уязвимостей. В статье утверждается, что средний по отрасли показатель -- это 2.2/5. Не понятно: 2.2 -- это хорошо или плохо? Чтобы эти цифрыp значили хоть что-то, необходимо дать читателю хоть какое-то метрическое пространство. Вот 2.1 это сильно хуже, чем 2.2? А 4.8 сильно ли отличается от 2.2 в лучшую сторону?
PS: по поводу данной новости -- всё-таки надо отдавать себе отчёт, что Ростелеком-Солар -- это отдельная компания, хоть и купленная несколько лет назад Ростелекомом. До этого они были известны как Solar Security, а ещё до этого были одним из подразделением Jet Infosystems. Так что исследование произвёл именно что Ростелеком-Солар, это вам не один хрен. Если Rad Hat сделает заявление, вы ж не станете писать статью с заголовком, мол, "IBM заявил".
