Re: Ашманов захватил власть в этой стране

["Konstantin Boyandin" <ezh@ezhe.ru>]

On Mon, Jan 31, 2022, at 12:00 PM, Алексей Ходорыч wrote:
> Я ни разу не айтишник, но откуда убежденность, что с линуксом всё
> чисто? Ну массовый, ОК, но дистрибутивы-то есть? Как я понял из более
> ранних дискуссий в соцсетях, закладку до момента её активизации
> обнаружить невозможно. Значит надо исходить из вопроса "А может ли она
> там быть?". Если может, значит есть.

Крайние точки зрения (знаменитые флеймы, какая ОС лучше) никогда не отражали действительного положения вещей.

Что значит, "всё чисто"? Уязвимости были, есть и будут, о них регулярно сообщаются на соответствующих ресурсах - некоторые обнаруживаются много лет спустя их фактического появления. Чисто или нет, решать пользователю.

У открытого кода есть два преимущества перед проприетарным (закрытым):
- когда ОС или её компоненты в открытом коде, их значительно проще анализировать, в т.ч. на возможные уязвимости
- поскольку все без исключения мало-мальски популярные программные продукты с открытым кодом используют контроль версий, можно понять, кем и когда была внесена конкретная правка

Были, есть и будут в т.ч. попытки внедрить вредоносный код - и в ядро Линукса, и в программные компоненты. Один из очень старых примеров такого инцидента:

https://freedom-to-tinker.com/2013/09/20/software-transparency-debian-openssl-bug/

Говоря о программных закладках - их в теории можно разработать так, что даже при всей открытости и доступности кода и истории правок можно будет не заметить создания и распространения такого кода. Это касается и проприетарного софта ровно в той же мере - но проприетарный софт намного сложнее эффективно анализировать на возможные вредоносные вставки, оттого и может возникать иллюзия, что-де с кодом от крупных корпораций (который вы никогда не увидите воочию) всё намного лучше. Если вы верите в статистику, то смотрите на общедоступные реестры, например

https://cve.mitre.org/

В общем, те же яйца, вид сбоку. Можно идти путём последовательной паранойи и заявлять, что-де бесплатный сыр только в мышеловке, и что-де все эти ваши Линуксы и прочие "черти" (те же BSD и другие ОС) все по уши нашпигованы закладками - но это скорее политический вопрос (а то и психиатрический). 

Эта музыка будет вечной. Кто-то будет пытаться внедрять закладки, другие в это же время совершенствуют методы обнаружение и предотвращения. Конкретно я, при прочих равных, использую FOSS, говоря об ОС - Линукс, когда это возможно. Сразу добавлю, что по сложности и ресурсоёмкости настройки и поддержания ОС в удобном и относительно безопасном состоянии нет никакой разницы между свободным и проприетарным софтом.

И да, у нас (говорю о компании, в которой работаю) были прецеденты, когда от сильно платной тех.поддержки коммерческих ОС (RHEL) толку было в разы меньше, чем от сообщества пользователей бесплатного. Сплошь да рядом. Платность не гарантирует ни безопасности, ни надёжности.

Всего наилучшего,
Константин

Оценить письмо Reputatio: http://ezhe.ru/reputatio/383bc8adb3