Citat:
Branimir Maksimovic: Razlika je u tome da kada imas otvoren kod ,maliciozni kod mozes uociti bez obzira da li tako nesto trazis ili ne. Kod zatvorenog koda maliciozni kod moze cucati
i biti aktiviran po potrebi i ti tu nista ne mozes uciniti. Znaci, kod zatvorenog koda samo zrtva moze uociti problem, dok kod otvorenog to moze i neko ko nije zrtva.
Da, moze svako ko radi audit. Ali proticaj ono sto je Ivan gore pisao, realni audit se retko radi.
Ajde zamisli da ja hocu da pravim top-security biznis. Cimnem tebe, znam da si sjajan C++ programer, dam ti da uradis audio koda u Linux-u. Samo osnovno, recimo da korisim Linux, glibc, gcc, libjpeg, libpng, mbstring, onda mysql i recimo node.js, sa par biblioteka. Koliko vremena bi trajao taj audit, realno? Koliko ti treba vremena da to uradis, koliko ljudi i koliko para na kraju. Koliko ti treba vremena da samo nadjes ljude? Pazi, DOBAR audio, detaljan.
Da, radi se to kad se radi merge, tome sluze git maintainers, ali :
- Oni nisu svemoguci, ni najbolji
- Povremeno se menjaju, cesto iz glupih (politickih, SJW primedbe) razloga
Osim tih par maintainter-a, koje realno ima i open source i closed source softver, broj ljudi koji ce da rade code audit "eto tako' i da "slucajno" nalete na bug, a kamoli namerno sakriven exploit je jako mali....
Please do not feed the Trolls!
Blasphemy? How can I blaspheme? I'm a god!'