Comments 36
В данном конкретном случае правильно сломать — даже сложнее, чем построить. То есть не сложнее, а просто работы больше, ведь просто набор полезных патчей сделать — это одно, а вот в этот набор невидимо включить "полезную нагрузку", жа ещё со всеми требованиями к устойивости и избыточности — это совсем другое. Это искусство!
А чего тут палить? Всё что я написал - очевидно, даже цифры на секлабе проскакивали не раз :) Тем более, что запалить кого-то конкретного при правильном подходе вообще невозможно, равно как и бороться с этим.
да это так, шутка

бороться можно - не принимать контрибуции кода от кого попало
Делить народ на кого попало и не кого попало можно во первых, если этого народу много, во вторых — не вдруг и отличишь первых от вторых... Понятно, что в Kernel или FireFox так подсунуть сложно, хотя бы в виду того, что сама задача сделать полезное добавление — нетривиальна. А вот в проекты поменьше, с небольшим количеством девов, большой роадмапой и большим количеством установок — запросто. Ещё и спасибо скажут...
я вообще против такого подхода к opensource - когда всем миром код пишется

на мой взгляд, код должна писать маленькая группа людей (1-5 человек) с тесным co-operation

а все остальное общество в таком случае выполняет роль лишь ревьюеров кода
Я конечно не владею информацией насчёт соотношения количества правок в популярных продуктах постоянными членами группы и случайными людьми, но уверен, что правки от случайных людей не такая уж и редкость и бесполезность.
Насчёт полезности простой пример: лет пять назад писал плагин к Миранде, нашёл в ней багу, в менеджере сервисов. Бага шибко мешала, я её пофиксил. Если бы я, как настоящий ССЗБ, не закоммитил патч - вероятно каждый релиз мне пришлось бы пересобирать со своими патчами. Кому оно надо?
Когда никто не несёт ответственности за качество продукта, имхо только такие патчи и вытягивают всё в целом.
И какая тогда мне вообще разница опен- или клозет- сорс, если нельзя коммитить туда? Если единожды выполненную мной работу по выявлению и устранению баго, придётся делать ещё раз мэйнтейнерам?
так ведь сила опенсорса далеко не в возможности любому что-то исправить, это, имхо, наоборот минус

информация должна быть открыта.. вот и вся фишка

так ты сможешь, как минимум, половину работы по устранению бага сам сделать - отладить и найти причину в коде
UFO landed and left these words here
UFO landed and left these words here
ИМХО, это ваша личная проблема, что вы восприняли статью как руководство к действию

попробуйте переосмыслить
Если бы только хабр… Мне кажется здесь речь о неуважении к людям и наплевательском отношении в принципам опенсорса, которые, в частности, предполагают добрые намерения.
...Вы признаётись виновным в наплевательском отношении в принципам опенсорса и приговариваетесь к смертной казни через прочтение и понимание исходного кода Firefox...
UFO landed and left these words here
Такой бизнес - он как ритуальные услуги. Заниматься им очень выгодно, но как-то вот что-то внутри не хочет категорически...
Весело :) Только я не пойму, почему конвейер не используется на полную? Дырка -> эксплоит -> троян -> письма счастья со ссылкой -> ботсеть -> спам + шантаж + ддосы на заказ. Так можно было бы гораздо больше денег срубить, а уголовка все та же.

Да, и s/OSS/СПО/g :)
Я тут рассматриваю только первые 2 пункта цепочки, про остальное можно писать вечно :) А смысл замены OSS на SPO не понял...
Ну так же самое то в последнем пункте. Там уже и мазду тройку можно купить.

P.S.:
OSS: opensource software
СПО: свободное программное обеспечение
Ааа... Я просто всегда употреблял СПО как "Специализированное Программное Обеспечение", отраслевое типа.
Между прочим, очень интересные мысли в этой идее.
А параноики вообще должны яростно плюсовать пост :)
Я не параноик, но плюсанул :)

Во-первых, интересно, что 0day-щику придется написать штук 5 полезных, а самое главное близкостоящих, патчей, чтобы подготовить там место для дырки. Это должна быть серъезная переработка одного участка кода. Скорее всего существенная оптимизация, рефакторинг или отладка. А саму дырку закроют через несколько дней после того, как объявится эксплоит. В сухом остатке — хорошо проверенный, оптимизированный, отлаженный код написанный специалистом (чтоб такое провернуть, нужно знать свое дело). А это уже плюс.

Во-вторых, намечается новая область для соревнования между мечом и щитом. В этот раз между патчером-злоумышленником и системой тестирования. Значит последние станут умнее, что положительно скажется на качестве кода всех проектов, не только СПО. Это тоже хороший плюс :)
если бы это был в разделе "Юмор на Хабре" поставил бы плюс.
но если это не шутка, мне жаль вас и всех пользователей этой OSS.
если бы все пчёлы были трутнями, то не кому бы было делать мёд.
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.