Про опенсорс.
Jun. 9th, 2021 07:45 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
reytsmanПолное спокойствие может дать человеку только страховой полис
Классик
Я смотрю работники индустрии индустрии считают, что "опенсорс" это ты обязательно сам если не написал, то уже точно скомпилил и точно лично читал все строчки сорса от начала до конца.
Я же считаю, что "опенсорс" это, то к чему открыты исходники. Как определить, что эти исходники можно использовать? Ну скажем если этот проект портирован подnetbsd OpenBSD (или ещё какой нибудь известный проект по безопасности _с_открытым_ кодом), то я рискну предположить, что этот код вычитывали профессионалы на наличие очевидных бэкдоров.
Более того, я не вижу очевидных причин почему исходники нужно компилить только самому и никак иначе. Если мы можем проверить md5 на экзекьюшник из нескольких источником, что с вероятностью 99.9% можно предположить, что экзекьюшник собран из кода без модификаций.
При таком подходе ваш Jorge Salcedo Cabrera превращается из красноглазого линуксоида с красными глазами и свитере с оленем в айтишника очень средней руки.
Безусловно и в таком софте будут дыры. Безусловно у "кого надо" поиск этих дыр проходит быстрее, чем у индустрии, но если вами интересуются менты или гуверовская гебня, то этим воробьям такие пушки не доверят.
А теперь внимание... если для безопасности используется только один софт без традиционных дополнительных методов безопасности, то всё равно проблемы это вопрос времени. Всё традиционное "после прочтения сжечь" и "всё важное только при личной встрече".
P.S. И пока мы на вопросе безопасности, я это таки добавлю. Оказывается Ассанж знаменит не только публикациями, но и файловой системой rubberhose предназначенной для борьбы с терморектальным криптоанализом.
Классик
Я смотрю работники индустрии индустрии считают, что "опенсорс" это ты обязательно сам если не написал, то уже точно скомпилил и точно лично читал все строчки сорса от начала до конца.
Я же считаю, что "опенсорс" это, то к чему открыты исходники. Как определить, что эти исходники можно использовать? Ну скажем если этот проект портирован под
Более того, я не вижу очевидных причин почему исходники нужно компилить только самому и никак иначе. Если мы можем проверить md5 на экзекьюшник из нескольких источником, что с вероятностью 99.9% можно предположить, что экзекьюшник собран из кода без модификаций.
При таком подходе ваш Jorge Salcedo Cabrera превращается из красноглазого линуксоида с красными глазами и свитере с оленем в айтишника очень средней руки.
Безусловно и в таком софте будут дыры. Безусловно у "кого надо" поиск этих дыр проходит быстрее, чем у индустрии, но если вами интересуются менты или гуверовская гебня, то этим воробьям такие пушки не доверят.
А теперь внимание... если для безопасности используется только один софт без традиционных дополнительных методов безопасности, то всё равно проблемы это вопрос времени. Всё традиционное "после прочтения сжечь" и "всё важное только при личной встрече".
P.S. И пока мы на вопросе безопасности, я это таки добавлю. Оказывается Ассанж знаменит не только публикациями, но и файловой системой rubberhose предназначенной для борьбы с терморектальным криптоанализом.
