» »

Začenja se revizija kode OpenSSL

Začenja se revizija kode OpenSSL

Slo-Tech - Začenja se največja revizija odprte kode v zgodovini, v sklopu katere bodo pregledali 447.247 vrstic kode v 14 programskih jezikih, ki sestavljajo aktualno verzijo OpenSSL. Projekt, ki so ga napovedali že lani, se začenja skoraj leto dni po odkritju hude ranljivosti heartbleed. Zaradi lanskih dogodkov se je začel tudi razvoj razvejitve (fork) LibreSSL ter Googlovega BoringSSL. Številni analitiki sicer menijo, da je revizija kode OpenSSL nepotrebno zapravljanje časa in da bi bilo bolje vse skupaj napisati na novo - torej investirati v LibreSSL - a CII vztrajajo, da je revizija kode pomembna. Dodajajo, da počno še marsikaj drugega, vse v želji poskrbeti, da bo infrastrukturno pomembna odprta koda brez ranljivosti.

V Core Infrastructure Initiative (CII), ki jo je ustanovila Fundacija Linux z namenom financiranja pregleda kode pomembnih infrastrukturnih projektov, se je nabralo že tri milijone dolarjev. V CII sodelujejo številni velikani, med njimi tudi Microsoft, Amazon, Facebook, Google. Projekt Open Crypto Audit, ki organizira in koordinira celotno revizijo, je udeležen tudi pri pregledu kode TrueCrypta (ki se sicer ne posodablja več). V prihodnosti bodo preverili tudi OpenSSH in Network Time Protocol (NTP), ki sta oba izredno pomembna gradnika internetne infrastrukture.

Minuli mesec se je končala predpriprava kode OpenSSL na revizijo. Kot pojasnjuje Matt Caswell, je bila koda v zelo slabem stanju, nesistematična, nenavadna in slabo formalno definirana, zaradi česar je bilo branje in vzdrževanje bistveno teže. Nastal je celo priročnik, kako naj bo oblikovana koda za OpenSSL (kot recimo obstajajo slogovna navodila za kodo v Linuxovem jedru). Ko so končali preoblikovanje kode v bolj berljivo verzijo, je sedaj na vrsti njena revizija. Prve rezultate pričakujemo septembra.

33 komentarjev

Isotropic ::

Ribič ::

Takšne revizije kode bi morali početi redno in veliko bolj pogosto. Poleg tega bi pa zadevo morale financirati večinoma vlade. V ameriki gre kakšna miljarda dolarjev vsako leto v črni račun obveščevalne slušbe NSA, da lahko potem brkljajo po stvareh, iščejo ranljivosti, pišejo viruse in trojance, vohunijo za ljudmi, itd. Torej se mi zdi čudno, da nebi morali prispevati še kakšen milijon ali dva k temu projektu, saj s tem močno krepijo varnost po celem internetu.

Isotropic ::

baje se pri dost linux projektih zgodi, da se kode nekega novega deva ne čekira več po par (10) commitih, ko se izkaže, da piše dobro kodo...
ne vem, a sem bral to tle zgor al nek drugje.

Spiky28 ::

skrajni čas!
kodo, ki implementira protokole na katerih sloni cel internet bi se moralo redno preverjat.

Nummy ::

Spiky28 je izjavil:

skrajni čas!
kodo, ki implementira protokole na katerih sloni cel internet bi se moralo redno preverjat.

Ja sam a ni cela filozofija open-source-a v tem, da se koda redno čekira in "posodablja"? Ali je to pač samo ena gola izmišljotina open-srource-arjev?

Ribič je izjavil:

Takšne revizije kode bi morali početi redno in veliko bolj pogosto. Poleg tega bi pa zadevo morale financirati večinoma vlade. V ameriki gre kakšna miljarda dolarjev vsako leto v črni račun obveščevalne slušbe NSA, da lahko potem brkljajo po stvareh, iščejo ranljivosti, pišejo viruse in trojance, vohunijo za ljudmi, itd. Torej se mi zdi čudno, da nebi morali prispevati še kakšen milijon ali dva k temu projektu, saj s tem močno krepijo varnost po celem internetu.


TIsti, ki je kodo pisal, naj pa še dela revizijo. Če jo je pisal zastonj, naj tudi zastonj dela revizijo, ne pa da potem davkoplačevalci plačujemo za take "opensource" fušarje, ki ne znajo kode pisat...

Zgodovina sprememb…

  • predlagal izbris: McAjvar ()

Isotropic ::

beri moj link in boš videl, kaj je problem

N4m31355 ::

Nummy je izjavil:

Spiky28 je izjavil:

skrajni čas!
kodo, ki implementira protokole na katerih sloni cel internet bi se moralo redno preverjat.

Ja sam a ni cela filozofija open-source-a v tem, da se koda redno čekira in "posodablja"? Ali je to pač samo ena gola izmišljotina open-srource-arjev?

Ribič je izjavil:

Takšne revizije kode bi morali početi redno in veliko bolj pogosto. Poleg tega bi pa zadevo morale financirati večinoma vlade. V ameriki gre kakšna miljarda dolarjev vsako leto v črni račun obveščevalne slušbe NSA, da lahko potem brkljajo po stvareh, iščejo ranljivosti, pišejo viruse in trojance, vohunijo za ljudmi, itd. Torej se mi zdi čudno, da nebi morali prispevati še kakšen milijon ali dva k temu projektu, saj s tem močno krepijo varnost po celem internetu.


TIsti, ki je kodo pisal, naj pa še dela revizijo. Če jo je pisal zastonj, naj tudi zastonj dela revizijo, ne pa da potem davkoplačevalci plačujemo za take "opensource" fušarje, ki ne znajo kode pisat...



Torej ce je ze enkrat delu free nej pa vedno? Zivi pa naj od zraka? Je on rekel da se MORA njegova koda uporabljat?

Napisi sam 10k vrstic pa naredi revizijo, pa porocaj o potrebnem casu.
Si preprican da pri reviziji ne bos nic izpustil?

zeleni ::

Revizijo seveda lahko dela kdo drug. Se priporocljivo je, skoraj nujno.
Ne vidim pa razloga, da bi to morala placevati kaka vlada. Naj se najde ljudi, ki bojo to poceli zastonj. Ce ne, naj ostane kot je - bugasto, luknjasto, kakrsnokoli.

Ali pa se placa iz licencnin uporabnikov tega programja. Ne iz proracunov!

Zgodovina sprememb…

  • spremenil: zeleni ()

johnnyyy ::

Nummy je izjavil:

TIsti, ki je kodo pisal, naj pa še dela revizijo.
Revizija mora biti zagotovljena s strani druge ekipe/ljudi, kot je kodo pisala. Več kot je neodvisnih revizij, več napak se najde in zakrpa. Neumno je, da celotno svetovno internetno varnost prepustiš peščici programerjev, za katere predpostaviš, da je njihova koda brez napak.

Nummy ::

N4m31355 je izjavil:

Nummy je izjavil:

Spiky28 je izjavil:

skrajni čas!
kodo, ki implementira protokole na katerih sloni cel internet bi se moralo redno preverjat.

Ja sam a ni cela filozofija open-source-a v tem, da se koda redno čekira in "posodablja"? Ali je to pač samo ena gola izmišljotina open-srource-arjev?

Ribič je izjavil:

Takšne revizije kode bi morali početi redno in veliko bolj pogosto. Poleg tega bi pa zadevo morale financirati večinoma vlade. V ameriki gre kakšna miljarda dolarjev vsako leto v črni račun obveščevalne slušbe NSA, da lahko potem brkljajo po stvareh, iščejo ranljivosti, pišejo viruse in trojance, vohunijo za ljudmi, itd. Torej se mi zdi čudno, da nebi morali prispevati še kakšen milijon ali dva k temu projektu, saj s tem močno krepijo varnost po celem internetu.


TIsti, ki je kodo pisal, naj pa še dela revizijo. Če jo je pisal zastonj, naj tudi zastonj dela revizijo, ne pa da potem davkoplačevalci plačujemo za take "opensource" fušarje, ki ne znajo kode pisat...



Torej ce je ze enkrat delu free nej pa vedno? Zivi pa naj od zraka? Je on rekel da se MORA njegova koda uporabljat?

Napisi sam 10k vrstic pa naredi revizijo, pa porocaj o potrebnem casu.
Si preprican da pri reviziji ne bos nic izpustil?


Dol mi visi od česa bo živel, če je prej lahko naredil free, naj pa še sedaj popravi svoje sranje free. Zakaj bi mi davkoplačevalci plačevali falirane programerje in njihove napake??? Ne hvala. Če ni bil v štartu sposoben, potem se pa naj nebi lotil česa takega in naj bi zadevo prepustil strokovnjakom, ki so bili plačani za to. Ampak ne, vsak hoče bit bolj pameten in potem naredi full hud program, ampak problem je v tem, da potem dobimo ven take izdelke. Sej je dovolj dobro za nas, če je pa free... ane?
By the avtocesta, lahko bi že v štartu računal za svoje delo, ampak je hotel biti avtor ali avtorji pač "pameten" oz. se (so) delati (delali) pameten (pametne).

kronik ::

Nummy sklepam, da še nisi spisal 10 vrstic kode v življenju? Misliš, da je programer objavil kodo brez pregleda svojega izdelka!?!?!

zeleni ::

Poanta je bolj v predlogu, da bi pregled kode financirali iz proracunov. Kdo jo bo gledal je pac stvar avtorjev/lastnikov. Ali jo bo kar isti, ki je pisal, ali bojo nasli koga drugega niti ni nasa stvar. Pac, ce ima kdo tukaj cas in znanje naj se javi.

Predlog, da bi bilo to placano iz proracunov je pa seveda nesmiselen. Ford naredi avto, potem naj pa od drzave pricakuje denar, da bo naredil se nekaj crash testov z njim?

Looooooka ::

Dol mi visi od česa bo živel, če je prej lahko naredil free, naj pa še sedaj popravi svoje sranje free. Zakaj bi mi davkoplačevalci plačevali falirane programerje in njihove napake??? Ne hvala. Če ni bil v štartu sposoben, potem se pa naj nebi lotil česa takega in naj bi zadevo prepustil strokovnjakom, ki so bili plačani za to. Ampak ne, vsak hoče bit bolj pameten in potem naredi full hud program, ampak problem je v tem, da potem dobimo ven take izdelke. Sej je dovolj dobro za nas, če je pa free... ane?
By the avtocesta, lahko bi že v štartu računal za svoje delo, ampak je hotel biti avtor ali avtorji pač "pameten" oz. se (so) delati (delali) pameten (pametne).

Kdo te pa sili, da uporabljaš to "free sranje"?

Invictus ::

Revizijo tvojo kode mora delati kdo drug, ker ima drugačen pristop kot ti.

Se najde kar precej napak. To se tudi dela v resnih firmah. V Sloveniji je to bolj izjema kot pravilo.

Googlajte pod "code review". Se najdejo zelo zabavne napake včasih ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Looooooka ::

Najceneje bi bilo seveda, da namesto, da človek spiše 3 dele za program, spiše 2 in pregleda enega od nekoga drugega.
Po pregledu 10 ljudi bo verjetno že kar ok(itak baje to sami profiji pišejo v svojem prostem času).

LightBit ::

Nummy je izjavil:

Dol mi visi od česa bo živel, če je prej lahko naredil free, naj pa še sedaj popravi svoje sranje free. Zakaj bi mi davkoplačevalci plačevali falirane programerje in njihove napake??? Ne hvala. Če ni bil v štartu sposoben, potem se pa naj nebi lotil česa takega in naj bi zadevo prepustil strokovnjakom, ki so bili plačani za to. Ampak ne, vsak hoče bit bolj pameten in potem naredi full hud program, ampak problem je v tem, da potem dobimo ven take izdelke. Sej je dovolj dobro za nas, če je pa free... ane?
By the avtocesta, lahko bi že v štartu računal za svoje delo, ampak je hotel biti avtor ali avtorji pač "pameten" oz. se (so) delati (delali) pameten (pametne).

Davkoplačevalci lahko plačajo "strokovnjake", da napišejo kodo "brez napak", ampak bo veliko dražje.
Sem pa prepričan, da bodo OpenSSL programerji popravili napako, če jim jo sporočiš.

LightBit ::

zeleni je izjavil:

Predlog, da bi bilo to placano iz proracunov je pa seveda nesmiselen. Ford naredi avto, potem naj pa od drzave pricakuje denar, da bo naredil se nekaj crash testov z njim?

Smiselno je v primeru, da to država uporablja.
Ko kupiš Forda že plačaš crash teste.

Manu ::

Nummy je izjavil:

Dol mi visi od česa bo živel, če je prej lahko naredil free, naj pa še sedaj popravi svoje sranje free. Zakaj bi mi davkoplačevalci plačevali falirane programerje in njihove napake??? Ne hvala. Če ni bil v štartu sposoben, potem se pa naj nebi lotil česa takega in naj bi zadevo prepustil strokovnjakom, ki so bili plačani za to. Ampak ne, vsak hoče bit bolj pameten in potem naredi full hud program, ampak problem je v tem, da potem dobimo ven take izdelke. Sej je dovolj dobro za nas, če je pa free... ane?
By the avtocesta, lahko bi že v štartu računal za svoje delo, ampak je hotel biti avtor ali avtorji pač "pameten" oz. se (so) delati (delali) pameten (pametne).

Plačljivi programi so pa brez hroščev? Ne samo, da jih plačaš za uporabo, plačaš jih tudi, da jih popravljajo.

Zakaj si potem proti programerjem, ki v svojem prostem času prispevajo k OS programski opremi, ki je zastonj?

Če hočeš zastonj programsko opremo, potem plačaj, da jo nekdo pregleda ali pa kupi programsko opremo, ki je ... ugani ... polna hroščev in jih nihče ne more preveriti, razen ko pride nekaj narobe in nekdo od zunaj najde hrošča.

Oba pristopa dajeta enake rezultate (zaprta in odprta programska oprema). Nobena ni boljša ali slabša, le pristop je drugačen. Vsaka ima svoje prednosti in slabosti.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

zeleni ::

Saj ni nihce proti programerjem, ki delajo zastonj ali pa za visoko placilo.

Tu je samo debata ali bi res morali biti nekateri placani iz proracuna. Naj bojo placani iz denarja, ki ga njihovo delo pridela. Torej iz denarja, ki ga dobijo pri prodaji licenc, podpore in ostalega kar pride zraven. Isto kot ostali izdelki.

Yacked2 ::

Saj to delajo strokovnjaki, pa so še vedno napake, to je tako kot bi rekel, da se poklicni voznik (rally) ne more zaleteti na normalni cesti.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

LightBit ::

zeleni je izjavil:

Saj ni nihce proti programerjem, ki delajo zastonj ali pa za visoko placilo.

Nummy očitno je.

joebanana ::

Nummy je izjavil:


TIsti, ki je kodo pisal, naj pa še dela revizijo. Če jo je pisal zastonj, naj tudi zastonj dela revizijo, ne pa da potem davkoplačevalci plačujemo za take "opensource" fušarje, ki ne znajo kode pisat...


Velika večina ljudi(88% za linux kernel), ki prispeva k opensource je posredno plačana za pisanje kode in se profesionalno ukvarjajo s tem. Kje v članku piše, da bodo to plačali davkoplačevalci? Definitivno pa je koda CR-jana še predno se merga v OpenSSL master, saj se to dela že za veliko manj kritične projekte. Je pa res, da je za dobro kodo potrebno ogromno napora. Ravno zato si skoraj nobeden od velikanov ne privošči pisati svojega OpenSSL stacka, ampak si z opensourse kodo razdelijo stroške.

Zgodovina sprememb…

Nummy ::

kronik je izjavil:

Nummy sklepam, da še nisi spisal 10 vrstic kode v življenju? Misliš, da je programer objavil kodo brez pregleda svojega izdelka!?!?!

Očitno je ni, če je dal tako "skrapucalo ven", kot sedaj pravijo...

LightBit je izjavil:

zeleni je izjavil:

Saj ni nihce proti programerjem, ki delajo zastonj ali pa za visoko placilo.

Nummy očitno je.

Ne to si samo ti tako razumel. Sem proti temu "zastonjkarstvu", da se nas posiljuje s tem na pol narejenim softwerjem in proti temu, da se potem za te zastonjkarske napake plačuje iz žepov vseh. Če hočeš se zaposli kot programer ali pa ustvari svoje podjetje če imaš tako hudo idejo, ni pa treba biti pijavka in živeti na račun drugih. Prav tako če pišeš nekaj, pa naj bo to zastonj ali ne, se zadevo naredi kot je treba, ne pa tak da ko gre en brat tvojo kodo da ga prime vmes 3x srat in 5x kozlat...

Zgodovina sprememb…

  • spremenilo: Nummy ()

LightBit ::

Nummy je izjavil:

Sem proti temu "zastonjkarstvu", da se nas posiljuje s tem na pol narejenim softwerjem in proti temu, da se potem za te zastonjkarske napake plačuje iz žepov vseh.

Kdo te posiljuje? Problem OpenSSL-a je, da je preveč narejen.
A je važno a država plača nekomu, da implementira TLS za njihove serverje ali plačajo nekomu, da preveri obstoječo implementacijo (kar koristi tudi drugim uporabnikom)?

Nummy je izjavil:

Prav tako če pišeš nekaj, pa naj bo to zastonj ali ne, se zadevo naredi kot je treba, ne pa tak da ko gre en brat tvojo kodo da ga prime vmes 3x srat in 5x kozlat...

Če je koda zanič se ji izogni.

Nummy ::

LightBit je izjavil:

Nummy je izjavil:

Sem proti temu "zastonjkarstvu", da se nas posiljuje s tem na pol narejenim softwerjem in proti temu, da se potem za te zastonjkarske napake plačuje iz žepov vseh.

Kdo te posiljuje? Problem OpenSSL-a je, da je preveč narejen.
A je važno a država plača nekomu, da implementira TLS za njihove serverje ali plačajo nekomu, da preveri obstoječo implementacijo (kar koristi tudi drugim uporabnikom)?

Nummy je izjavil:

Prav tako če pišeš nekaj, pa naj bo to zastonj ali ne, se zadevo naredi kot je treba, ne pa tak da ko gre en brat tvojo kodo da ga prime vmes 3x srat in 5x kozlat...

Če je koda zanič se ji izogni.

Ne problem je, ker nas s tem posiljujejo, nimamo izbire, prav tako nimamo izbire, kdo bo sedaj plačal revizijo...

Manu ::

Ne, podjetja te posiljujejo, da uporabljaš OpenSSL, saj ga z odprtimi rokami uporabljajo na svojih spletnih straneh in podpirajo na svojih brskalnikih.

Zakaj ne najdejo svoje rešitve? Zato, ker se želijo izogniti stroškom in odgovornostim (hrošči).

Revizije pa sploh ni treba delat. Naj podjetja razvijejo svojo rešitev. Aja, nočejo. Torej te posiljujejo z odprtokodnimi rešitvami. Še več. Še revizije konkretne kode ne bi financirali, čeprav so jo zastonj uporabljali in zraven ustvarjali dobičke. Zdaj pa stroške revizije prelagajo na uporabnike od katerih živijo. Posilstvo2.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

Spiky28 ::

@Nummy V dveh besedah na vse tvoje (že napisane in prihodnje) objave: pojma nimaš.
Revizijo se mora delat (če bi programiral bi vedel). Ljudje pač nismo stroji in delamo napake. Open source ali ne, sploh nima veze. V računalništvu je pač tako, da nobeden ne dela "from ground up". To, da je koda opensource, ne pomeni, da je za k***. Daje možnost, da jo vsak(javnost) lahko pregleda in odkrije ranljivosti. Koliko ima kdo interes je pa druga stvar (vendar je ista situacija, če za izdelkom stoji podjetje). Guess what...če openssl ne bi bil openspurce se teh napak verjetno ne bi niti odkrilo. Plačljiv izdelek ni nič bolj varen...poglej Microsoft...vsak dan 1000 popravkov...ko švicarski sir...pa še plačani so za to.

Nummy ::

Spiky28 je izjavil:

@Nummy V dveh besedah na vse tvoje (že napisane in prihodnje) objave: pojma nimaš.
Revizijo se mora delat (če bi programiral bi vedel). Ljudje pač nismo stroji in delamo napake. Open source ali ne, sploh nima veze. V računalništvu je pač tako, da nobeden ne dela "from ground up". To, da je koda opensource, ne pomeni, da je za k***. Daje možnost, da jo vsak(javnost) lahko pregleda in odkrije ranljivosti. Koliko ima kdo interes je pa druga stvar (vendar je ista situacija, če za izdelkom stoji podjetje). Guess what...če openssl ne bi bil openspurce se teh napak verjetno ne bi niti odkrilo. Plačljiv izdelek ni nič bolj varen...poglej Microsoft...vsak dan 1000 popravkov...ko švicarski sir...pa še plačani so za to.


Bistvena razlika: MS je plačan za popavke in jih iz tega naslova dela. Pri opensource pa noben ni plačan za to in se potem tudi ne pričakuje, da bo kdorkoli popravljal karkoli. Na koncu se samo zgodi, da se ena stvar vzame za "sveto" in potem se ugotovi da je celotna koda en velik pile of crap in potem moramo davkoplačevalci plačevat za to? Ne hvala.

Tu se tudi vidi, kako in koliko se sploh pregleduje to famozno opensource kodo pred samo uporabo. V praksi NOBEDEN ne prebere kode in jo vsak uporablja kot bi uporabljal zaprto kodo, samo da ima gor nalepko "free". V tem "free" se pa skriva tudi "ni garancije" in če je potem karkoli narobe, popravljaj sam (že v štartu skoraj bolje če bi kar vse skupaj sam napisal, ker moraš itak preštudirat celo kodo) ali pa si porini prst v eno luknjo... Pri plačljivi kodi lahko vsaj vržeš bug-e razvijalcem v faco in zahtevaš popravek, tu nimaš od nikogar zahtevati popravka in v tem primeru bomo pač morali vsi plačevati za grehe nesposobnih programerjev. In ne ni fora, da je človek zmotljiv, fora tu je, da je dotična koda spisana tako, da te prime srat, še preden prebereš prvih nekaj 100 vrstic kode. Kot v opensource poznano: brez standardov, kot kura brez glave iz "žnj" vetrov skupaj zmetano in po možnosti še brez konkretne dokumentacije in testov.

Poldi112 ::

Pa kakšni davkoplačevalci? Kaj točno oni plačajo, če se uporablja openssl?

Glede odsotnisti garancije - popolnoma isto kot pri zaprtokodnih izdelkih - še slabše, ker imaš tu vsaj možnost, da popraviš sam (plačaš nekomu), če proizvajalec nima opcije.

Tole o ignoriranju standardov je totalni bullshit - lahko pa mirno daš relevantne primere. Pa da vidimo, v čem se razlikujejo od zaprtokodne konkurence.

Glede posiljevanja - čisto kako je to drugače od posiljevanja z Word in IE, ki ju tudi moraš uporabljati?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Nummy ::

Poldi112 je izjavil:

Pa kakšni davkoplačevalci? Kaj točno oni plačajo, če se uporablja openssl?

Glede odsotnisti garancije - popolnoma isto kot pri zaprtokodnih izdelkih - še slabše, ker imaš tu vsaj možnost, da popraviš sam (plačaš nekomu), če proizvajalec nima opcije.

Tole o ignoriranju standardov je totalni bullshit - lahko pa mirno daš relevantne primere. Pa da vidimo, v čem se razlikujejo od zaprtokodne konkurence.

Glede posiljevanja - čisto kako je to drugače od posiljevanja z Word in IE, ki ju tudi moraš uporabljati?

Plačeval bomo revizijo kode, ki je več kot očitno v razsulu.

Pri zaprtokodnih sitemih imaš garancijo, MS garantira podporo za nekaj n-let za svoj sistem, prav tako velika večina drugih programskih hiš. Edina razlika je v tem, da se po določenem času naredi nova verzija in se opusti podpora starejšim verzijam, kar je tudi prav, da ljudje ne ostanejo v kameni dobi.

Imaš zgoraj primer. Koda je tak clusterfuck da je vse tiste, ki so jo brali prijelo srat in kozlat zraven. Zato so pa rekli, da bi bilo bolje, če bi vse skupaj na novo napisali. Očitno le ni tako dobra koda... Hočeš drug primer? Evo ti javascript knjižnjice. Dokumentacija taka da si z njo lahko samo nekaj obrišeš. Moraš na koncu na stackoverflow iskat primere in pomoč... Sama koda v nekaterih tako napisana da se resno čudiš kater idiot se je lotu pisanja. In takih primerov je veliko. Velika večina primerov slabe dokumentacije in kode je ravno iz opensource vod. Ker pač folk dela zastonj jim dol visi ali je delo narejeno dobro ali ne, ponavadi pa se taki ukvarjajo s pisanjem te kode, ki ne dobijo nikjer drugje dela in potem "nabirajo" potrebne izkušnje za zaposlitev na takih projektih. Na našo žalost je njihovo delo zelo slabo, ker ravno nimajo konkretnih izkušenj iz razvoja iz podjetij.

Posiljevanje je, če vsi uporabljajo ta opensource kot en standard. Nobenmu se ne da napisat česa boljšega, ker so pač našli eno "free" varianto in so jo veselo uporabljali, noben pa ni prebral in prečekiral kode nikoli. Leta in leta se je nabiralo, sedaj pa vse skup en kup dreka od kode. To so pa pač "zastonjkarji", ki želijo vse zastonj, za posledice pa malo mar.

LightBit ::

Nummy je izjavil:

Plačeval bomo revizijo kode, ki je več kot očitno v razsulu.

Kdo bo plačal?

Nummy je izjavil:

Pri zaprtokodnih sitemih imaš garancijo, MS garantira podporo za nekaj n-let za svoj sistem, prav tako velika večina drugih programskih hiš. Edina razlika je v tem, da se po določenem času naredi nova verzija in se opusti podpora starejšim verzijam, kar je tudi prav, da ljudje ne ostanejo v kameni dobi.

Prav tako lahko plačaš nekomu za tako garancijo in podporo pri odprti kodi.

Nummy je izjavil:

Imaš zgoraj primer. Koda je tak clusterfuck da je vse tiste, ki so jo brali prijelo srat in kozlat zraven. Zato so pa rekli, da bi bilo bolje, če bi vse skupaj na novo napisali. Očitno le ni tako dobra koda... Hočeš drug primer? Evo ti javascript knjižnjice. Dokumentacija taka da si z njo lahko samo nekaj obrišeš. Moraš na koncu na stackoverflow iskat primere in pomoč... Sama koda v nekaterih tako napisana da se resno čudiš kater idiot se je lotu pisanja. In takih primerov je veliko. Velika večina primerov slabe dokumentacije in kode je ravno iz opensource vod. Ker pač folk dela zastonj jim dol visi ali je delo narejeno dobro ali ne, ponavadi pa se taki ukvarjajo s pisanjem te kode, ki ne dobijo nikjer drugje dela in potem "nabirajo" potrebne izkušnje za zaposlitev na takih projektih. Na našo žalost je njihovo delo zelo slabo, ker ravno nimajo konkretnih izkušenj iz razvoja iz podjetij.

Misliš, da zaprta koda nikoli ni takšna?
Če si slučajno uspel spregledati, večino kode napišejo plačani profesionalni programerji. So tudi taki, ki delajo to ob prostem času in so po poklicu kuharji, kar še ne pomeni, da je koda slabša.

Nummy je izjavil:

Posiljevanje je, če vsi uporabljajo ta opensource kot en standard. Nobenmu se ne da napisat česa boljšega, ker so pač našli eno "free" varianto in so jo veselo uporabljali, noben pa ni prebral in prečekiral kode nikoli. Leta in leta se je nabiralo, sedaj pa vse skup en kup dreka od kode. To so pa pač "zastonjkarji", ki želijo vse zastonj, za posledice pa malo mar.

Obstajajo boljše odprto kodne in zaprto kodne SSL/TLS knjižnice. Ampak OpenSSL je starejši in bolj razširjen.

noraguta ::

ma te revizije so bolj tako, tako, ... u bistvu ne garantirajo ničesar.
Pust' ot pobyedy k pobyedye vyedyot!

Poldi112 ::

@Nummy

Veliko si napisal, pa praktično nič povedal.

>Pri zaprtokodnih sitemih imaš garancijo, MS garantira podporo za nekaj n-let za svoj sistem

MS ne popravi vseh bugov. Če te pojebe točno tisti, ki se njim ne zdi vreden popravka, kakšna ti je potem to garancija? Pri opensource bi lahko kupil rešitev, pri MS si pa plačal za nekaj, s čimer se zdaj lahko samo še jebeš.

>Posiljevanje je, če vsi uporabljajo ta opensource kot en standard.

To je pa res posiljevanje, če imaš zelo razširjeno eno od implementacij standarda, ki lepo deluje z ostalimi. Res groza. Za razliko od MS, ki namerno skriva standarde, tako da sploh ne moreš uporabiti drugega, kot njihovo rešitev, če hočeš združljivost. A se sploh zavedaš, kakšne kozlarije pišeš?

>Plačeval bomo revizijo kode, ki je več kot očitno v razsulu.

Kot že parkrat rečeno, kdo bo to plačal?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

LibreSSL za zdaj še nevaren

Oddelek: Novice / Varnost
177417 (6031) AndrejO
»

Iz OpenSSL tudi BoringSSL

Oddelek: Novice / Varnost
157046 (5369) Looooooka
»

Dodatni razvijalci in pregled kode OpenSSL-a

Oddelek: Novice / Varnost
3014358 (12120) MrStein
»

Del OpenSSL bo postal LibreSSL

Oddelek: Novice / Varnost
169459 (8016) LightBit

Več podobnih tem