Ezhe.ru архив
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Ашманов захватил власть в этой стране
- To: Ежелист <ezh@ezhe.ru>
- Subject: Re: Ашманов захватил власть в этой стране
- From: "Konstantin Boyandin" <ezh@ezhe.ru>
- Date: Fri, 04 Feb 2022 23:38:50 +0000
- Reply-to: Konstantin Boyandin <konstantin@boyandin.com>
- User-agent: Cyrus-JMAP/3.5.0-alpha0-4745-gf9b5b8e72a-fm-cal2020-20220203.002-gf9b5b8e7
On Mon, Jan 31, 2022, at 12:00 PM, Алексей Ходорыч wrote:
> Я ни разу не айтишник, но откуда убежденность, что с линуксом всё
> чисто? Ну массовый, ОК, но дистрибутивы-то есть? Как я понял из более
> ранних дискуссий в соцсетях, закладку до момента её активизации
> обнаружить невозможно. Значит надо исходить из вопроса "А может ли она
> там быть?". Если может, значит есть.
Крайние точки зрения (знаменитые флеймы, какая ОС лучше) никогда не отражали действительного положения вещей.
Что значит, "всё чисто"? Уязвимости были, есть и будут, о них регулярно сообщаются на соответствующих ресурсах - некоторые обнаруживаются много лет спустя их фактического появления. Чисто или нет, решать пользователю.
У открытого кода есть два преимущества перед проприетарным (закрытым):
- когда ОС или её компоненты в открытом коде, их значительно проще анализировать, в т.ч. на возможные уязвимости
- поскольку все без исключения мало-мальски популярные программные продукты с открытым кодом используют контроль версий, можно понять, кем и когда была внесена конкретная правка
Были, есть и будут в т.ч. попытки внедрить вредоносный код - и в ядро Линукса, и в программные компоненты. Один из очень старых примеров такого инцидента:
https://freedom-to-tinker.com/2013/09/20/software-transparency-debian-openssl-bug/
Говоря о программных закладках - их в теории можно разработать так, что даже при всей открытости и доступности кода и истории правок можно будет не заметить создания и распространения такого кода. Это касается и проприетарного софта ровно в той же мере - но проприетарный софт намного сложнее эффективно анализировать на возможные вредоносные вставки, оттого и может возникать иллюзия, что-де с кодом от крупных корпораций (который вы никогда не увидите воочию) всё намного лучше. Если вы верите в статистику, то смотрите на общедоступные реестры, например
https://cve.mitre.org/
В общем, те же яйца, вид сбоку. Можно идти путём последовательной паранойи и заявлять, что-де бесплатный сыр только в мышеловке, и что-де все эти ваши Линуксы и прочие "черти" (те же BSD и другие ОС) все по уши нашпигованы закладками - но это скорее политический вопрос (а то и психиатрический).
Эта музыка будет вечной. Кто-то будет пытаться внедрять закладки, другие в это же время совершенствуют методы обнаружение и предотвращения. Конкретно я, при прочих равных, использую FOSS, говоря об ОС - Линукс, когда это возможно. Сразу добавлю, что по сложности и ресурсоёмкости настройки и поддержания ОС в удобном и относительно безопасном состоянии нет никакой разницы между свободным и проприетарным софтом.
И да, у нас (говорю о компании, в которой работаю) были прецеденты, когда от сильно платной тех.поддержки коммерческих ОС (RHEL) толку было в разы меньше, чем от сообщества пользователей бесплатного. Сплошь да рядом. Платность не гарантирует ни безопасности, ни надёжности.
Всего наилучшего,
Константин
Оценить письмо Reputatio: http://ezhe.ru/reputatio/383bc8adb3
Home |
Main Index |
Thread Index