Pull to refresh

Comments 29

Люди будут сообщать о проблемах в Open Source даже без вознаграждения хотя бы потому, что они им пользуются. Уменьшение числа уязвимостей в используемых программах — это уже (пусть и не очень большая) выгода.
На самом деле, для программиста и спеца по безопасности фикс критичной проблемы Open Sourc'a это один из лучших способов сделать себе имя и карьеру (правда в РФ это плохо работает, зато замечательно работает на Западе). Думаю тот кто нашел багу в OpenSSL на следующий день после фикса без всяких проблем мог увеличить свои расценки/зарплату раза в два.
А сколько было за два года людей, кто нашёл багу в OpenSSL и написал эксплойт? Мы не знаем и можем лишь надеяться, что написание эксплойтов было менее выгодно специалистам. Об этом хорошо сказано в статье.
Я говорил о другом, не каждый эксперт захочет нарушать закон, продавая эксплойт на черном рынке (и, соответственно, рискуя свободой). Всегда есть светлая сторона силы, бесплатно пофиксить эксплойт в открытом коде, а потом получать не такую большую, но стабильную прибыль как эксперт по безопасности ПО мирового уровня (публикуя книги, давая мастер классы, получая заказы на тестирование безопасности от самых крупных фирм).
UFO just landed and posted this here
На самом деле, почему так развит OpenSource на Западе и так плохо развит в РФ? Потому что вложиться во всем известный OpenSource это лучший способ увеличить свою стоимость как специалиста. На Западе эксперт, нашедший ошибку в популярном OpenSource, сразу переходит в другую категорию «стоимости», а это зачастую даже большие деньги чем тупо продать эксплойт на черном рынке: что лучше продать эксплойт за 20-50 тыс.$ или получить возможность просить годовую зар.плату на те же 20-50 тыс.$ больше среднерыночной (для США это всего 20-50% надбавки) в течении всей своей жизни?
Вы немного о другом говорите: сравниваете Россию и Запад. Не влезая в тонкости разницы между OpenSource «у нас» и «у них» (была тут недавно весьма острая дискуссия), давайте вернёмся к исходному тезису: автор переводной статьи говорит, что в целом в мире (давайте не будем делить по странам) есть такая проблема.
Поэтому даже если вы и хотите показать, что в России всё ещё хуже, чем в целом по миру — то решать проблему подымая Россию до среднегомирового уровня — совсем не вариант, общая проблема никуда от этого не денется.
В России вообще крупных OpenSource проектов крайне мало (из условно-российских на ум приходит разве IntelliJ IDEA Community Edition). Тут проблема не в том что плохо с аудитом безопасности OpenSource, а в том что в РФ вообще с разработкой OpenSource плохо, тут уж нет OpenSourc'а — нет проблемы.

автор переводной статьи говорит, что в целом в мире (давайте не будем делить по странам) есть такая проблема

А я говорю, что автор переводной статьи сгущает краски, искать в OpenSource искать уязвимости может быть даже выгоднее чем в коммерческом софте.
А что мешает эксперту продать эксплойт, а потом, через несколько месяцев пофиксить багу? То есть и денег заработать, и выйти красавчиком и поднять себе зарплату на будущее. Блэк маркет же анонимен, покупатели претензий предъявлять не будут.
UFO just landed and posted this here
Никто не мешает, но
1) если эксплойт начнут активно использовать направо и налево с большой вероятностью его найдут и раньше нескольких месяцев => лавры получит кто-то другой,
2) если продав багу на черном рынке эксперт немедленно пофиксит багу под своим настоящим именем, его найдут и прирежут. Достаточно наивно верить, что у криминала способного купить эксплойт за десятки тысяч $ не найдется возможности отомстить тому кто их кинул или мозгов догадаться что такое совпадение, что многолетнею багу неожиданно одновременно нашли сразу двое, не просто так,
3) ну и в конце концов, полиция думает примерно так же, поэтому если вдруг публикуется эксплойт, которым пару месяцев активно воровали деньги, первый подозреваемый будет именно эксперт публикующий эксплойт, а найти доказательства продажи на черном рынке у конкретного подозреваемого намного легче, чем вообще не зная ничего,
В phpbb была дыра, позволявшая получить доступ к шелу. Она существовала более года и ее тихо использовали заинтересованные люди, пока кто-то ее не опубликовал. После публикации начался бардак и даже появились эксплуатирующие эту уязвимость черви.

Разумеется, никого не нашли, даже авторов червей. Подозреваю, что и heartbleed заинтересованные люди использовали годами.
Кроме экспертов, которые занимаются исключительно поиском уязвимостей и обычными программистами, которые не видят уязвимостей, есть много разработчиков, которые могут увидеть уязвимости в программе в процессе ее разработки (которая в свою очередь может быть спонсирована коммерческой компанией, которая эту программу использует) и некоторое количество продвинутых пользователей, которым по какой-то причине нужно залазить внутрь и читать код программы (к примеру для отладки багов). Эти люди как репортили уязвимости до появления программ вознаграждения, так и будут репортить. Поэтому Open Source проекты без сообщений о проблемах с безопасностью не останутся.
Люди обычно просто пользуются, а не код читают. И багрепорты, если и пишут, то про «открываю мп3 в этом вашем либреофисе, а он вместо текста песни показывает какую-то фигню.» :)
Так что уязвимости от пользователей будут разве что случайно («падает, если я делаю так»).
UFO just landed and posted this here
Это смотря какая проблема и как решают. Вот я как-то столкнулся с проблемой в tar. Написал. Получил через пару дней хотфикс. Обнаружил, что он не решает проблему. Написал еще раз. Ответа не дождался. Забил. Похожий опыт у меня был с wine (там ветка заглохла через десяток комментариев) и qemu (а эти ребята вообще проигнорировали, но их можно понять — у них с 2009 года висят баги в состоянии «new»).

Некоторая часть багтрекеров словно создаются специально для того, чтобы отбить всякую охоту ими пользоваться: перед репортом нужно зарегистрироваться, подтвердить почту, указать фамилию-имя, прочитать портянку на десять страниц о том, как именно надо сообщать. В общем, для полноты картины не хватает только текста на главной странице — «Вам тут не рады, уходите и не мешайте».

А вот если бы была награда, например, в виде сувениров — я бы, вполне вероятно, приложил больше усилий.
Идея денежных наград мне кажется сомнительной, потому как профессиональные программисты, обычно, не испытывают финансовых затруднений.
Ничего не знаю как работают в tar или wine, но как послан bug report имеет огромное значение. Вот только сегодня с коллегами обсуждали bugs.mysql.com/bug.php?id=72322 Дело в том, что underlying issue of this bug — это давно известная проблема и я, честно говоря, ожидала фикса в лучшем случае только в следующей major версии. Однако после того, как был сделан report с таким хорошим test case, позволившим взять и повторить баг, это пофиксили не только в future version, но и во всех поддерживаемых. А до этого годами люди слали что-то типа «Information Schema работает медленно».
> А вот если бы была награда, например, в виде сувениров

Автор про это пишет тоже. Люди хотят а) бесплатный софт, б) открытые исходники в) плюшки за поиск багов. Впору их спросить: «У вас совесть есть?»
UFO just landed and posted this here
Взывать к совести бесполезно в рамках поставленной задачи — это не даст ничего, кроме временного ощущения собственного морального превосходства и последующей депрессии от осознания несовершенства мира. Автор хочет больше помощи в нахождении багов? Значит, ему нужно что-то сделать для привлечения людей. Есть бесплатные варианты:

  • страничка с благодарностями поименно (типа top contributors)
  • картинка на сайте
  • именная картинка-для-подписи на сторонних сайтах
  • место для ссылок на проекты людей, которые помогли
  • почтовый ящик (пусть и просто редирект) на сайте проекта
  • хотя бы простое «спасибо» в частном порядке


Некоторые из этих пунктов попадаются на багтрекерах время от времени.
Давайте ссылку на ваш профиль в гитхабе и готовьте сувениры на поиск багов :)
Все проблемы актуальны не только для открытого софта, в закрытом всё тоже самое, только чтение исходников сложнее, надо формулировать так чтобы не создавалось впечатление что это проблема именно открытого софта
Считаю что в закрытом все еще хуже, так как часто авторы закрытого софта считают, что если код закрыт, то он более безопасен и подходят к задаче исправления брешей безопасности этого кода «спустя рукова». Сам с этим сталкивался не раз и не два.
Я довольно долго имел дело с иходниками openssl, так вот совсем не удивлён что эту ошибку там не нашли, ибо дебри непралазные.
Бросайте лазанье по OpenSSL — это сильно сказывается на Вашей русской грамматике.
Согласен. Столько далеко идущих выводов и вся аргументация строится на примере OpenSSL. Но нельзя это поделие рассматривать в качетсве примера, это просто адов ад, а не библиотека.
Так то оно так, но есть много других опенсорсных проектов, где ситуация не лучше.
Собственно причем тут опенсорс. Не видел статистики, где бы утверждалось, что качество кода в закрытых проектах в среднем лучше. В данном случае у нас хотя бы есть возможность заглянуть внутрь и понять, что код говно.
Нужны краудфандинговые фонды, которые будут выплачивать вознаграждения за поиск проблем в безопасности. Плюс определять приоритетные направления и ставки за выплаты. И крупные корпорации вполне могли бы участвовать в этих фондах.
Sign up to leave a comment.