https://opennet.dev/openforum/vsluhforumID3/90540.html Один из разработчиков KDE попытался (http://blogs.kde.org/2013/06/19/really-source-code-software) проанализировать насколько реально воссоздать бинарный файл, идентичный распространяемым готовым сборкам, при наличии полных исходных текстов, на основе которых были произведена сборка. Таким образом была оценена возможность проверки собран ли представленный исполняемый файл из указанных исходных текстов и содержит ли то, что заявлено создателями сборки.<br><br><br><br><br>В качестве эксперимента было произведено сравнение исполняемых файлов, поставляемых в составе дистрибутивов Debian, Fedora и openSUSE, с исполняемым файлом, собранным из доступных пакетов с исходными текстами. Для теста выбран пакет с утилитой tar. В теории, зная все параметры сборки и версии используемых при сборке компонентов, можно воссоздать исходное сборочное окружение, сборка пакета с исходными текстами в котором должна привести к получению тождественных исполняемых файлов. На практике всё оказалось не так просто, при каждой сборке получались разные https://opennet.dev/openforum/vsluhforumID3/90540.html#274 Fri, 28 Jun 2013 22:10:31 GMT Как проверить отличие в поведении, если оно проявляется лишь при определённых погодных условиях на Марсе и только если пришёл сформированный специальным образом файл данных с Венеры? ))<br> https://opennet.dev/openforum/vsluhforumID3/90540.html#273 Fri, 28 Jun 2013 19:07:18 GMT &gt; Кстати, на этом принципе основана безопасность SSL сертификатов.<br>&gt; Diginotar тоже мамой клялся:) <br><br>нет там никакой безопасности. система безопасности, скомпрометированная хотя бы один раз, безопасной не является. до первого фэйла можно было только предполагать, что они продают бесполезные фантики, а теперь можно со спокойной уверенностью говорить, что действительно: продают бесполезные фантики. лохотрон такой лохотрон.<br> https://opennet.dev/openforum/vsluhforumID3/90540.html#272 Fri, 28 Jun 2013 19:01:43 GMT &gt; может быть я верю на 99%, а сомниваюсь на 1% ...<br><br>Ну тогда чего думать изза 1% :)<br><br>&gt; говорит "[b]мамый кланусь, не внэдрял бэкдоров во время компэляции! зачэм обэжаиш, <br>&gt; да?[/b]",<br><br>Кстати, на этом принципе основана безопасность SSL сертификатов.<br>Diginotar тоже мамой клялся:)<br><br> https://opennet.dev/openforum/vsluhforumID3/90540.html#271 Fri, 28 Jun 2013 11:09:57 GMT &gt; Если говорить про дактилоскопию, то дактилоскопия не устанавливает и не доказывает факт <br>&gt; преступления. Она может быть лишь одним из аргументов в цепочке доказательств, <br>&gt; а вот создать эту цепочку дактилоскопия не в состоянии.<br><br>точно то же можно сказать и про VCS. натурально, у VCS есть и основные функции, помимо такой опциональной.<br><br>&gt; Теперь по поводу &#171;а можно просто на него всех собак повесить&#187;. Очень <br>&gt; часто для руководства предприятием крайне важно точно установить кто виноват, а <br>&gt; кто не виноват.<br><br>я всего лишь привёл это как один из способов псевдорешения проблемы.<br><br>&gt; Но вот в жизни других предприятий и организаций по множеству весьма <br>&gt; объективных обстоятельств многое строится с некоторыми отклонениями.<br><br>и зря.<br><br>&gt; поглощение одного предприятия другим, в то время когда у <br>&gt; них ИТ-инфраструктура выстроена на весьма различных принципах. В такой ситуации затевается <br>&gt; какой-то проект перехода, изминений, которые&#8230; растягиваются во времени, в этапах, &#8230; <br>&gt; потом о https://opennet.dev/openforum/vsluhforumID3/90540.html#270 Fri, 28 Jun 2013 11:00:56 GMT &gt; впрочем, вся беседа сворачивает в странное русло. получается нечто вроде: &#171;дактилоскопия <br>&gt; не позволяет установить мотивы, поэтому дактилоскопия бесполезна.&#187; <br><br>Не всегда удается пострелять из пушек по воробьям, даже если хочется.<br>Если говорить про дактилоскопию, то дактилоскопия не устанавливает и не доказывает факт преступления. Она может быть лишь одним из аргументов в цепочке доказательств, а вот создать эту цепочку дактилоскопия не в состоянии.<br>Теперь по поводу "а можно просто на него всех собак повесить". Очень часто для руководства предприятием крайне важно точно установить кто виноват, а кто не виноват. Иногда даже лучше вообще сделать вид, что ничего не произошло, чем поднять шум, и не раскопать ситуацию до конца. Это в корпорации под названием государство кто-то может практиковать правило - "мужиков бабы еще нарожают" и "незаменимых не бывают". Для предприятий размерами поскромнее и не имеющих возможность тупо у кого-то отобрать то, чего не хватает, приходится оценивать такие скучные https://opennet.dev/openforum/vsluhforumID3/90540.html#269 Fri, 28 Jun 2013 09:49:49 GMT &gt; Всё это очень хорошо (вцс и т.п.). Но бывают веселые нюансы. Представьте <br>&gt; себе: <br><br>1. ну и что? история куда-то делась, что ли? если да &#8212; то виноват однозначно системный администратор.<br>2. а что, при слиянии бранча разработчика с основной веткой информация о первоначальном авторстве теряется? тогда это говно, а не система управления исходниками. иначе &#8212; code reviewer виноват лишь в том, что прошляпил, но фигню запилил однозначно автор.<br>3. изначально вопрос был в том, &#171;кто запилил&#187;. кто запилил &#8212; ясно. а дальше можно раскручивать запилившего, а можно просто на него всех собак повесить.<br><br>впрочем, вся беседа сворачивает в странное русло. получается нечто вроде: &#171;дактилоскопия не позволяет установить мотивы, поэтому дактилоскопия бесполезна.&#187;<br> https://opennet.dev/openforum/vsluhforumID3/90540.html#268 Fri, 28 Jun 2013 08:24:10 GMT &gt;&gt;&gt; Все еще хуже на самом деле. Что делать с брадобреем (gcc) который <br>&gt;&gt;&gt; компилирует тех, и только тех кто не компилируется сам?<br>&gt; Ну это была изящная словесность :) <br><br>Оценил :-)<br><br>&gt; Я это к тому что все равно нужен минимум один бинарик которому <br>&gt; приходится верить на слово.<br><br>А если вспомнить еще и о железе? Чего там прошито в микрухах - это черный ящик от которого вы имеете часть описания, но как соотносится эта часть с полным описанием - проверить не можете. Как узнать - не поражает ли Ваш процессор или ваш контроллер винчестера Ваш любимый и доверенный бинарник gcc? :-D<br> https://opennet.dev/openforum/vsluhforumID3/90540.html#267 Fri, 28 Jun 2013 07:51:15 GMT &gt; есть мнение, что VCS применяют не только для того, чтобы при случае <br>&gt; выяснить, кто виноват. хотя оно и с этим неплохо справляется&#8230; если, <br>&gt; конечно, контора не шаражка, где в том числе и на админах <br>&gt; экономят.<br><br>Всё это очень хорошо (вцс и т.п.). Но бывают веселые нюансы. Представьте себе:<br>1.Изменения внесенные за год-другой до проявления проблем, причем сделанные в рамках официальной заявки по прикручиванию/исправлению той или мелкой функцинальности. И подобных измнений за этот период было несколько десятков.<br>2. Опционально. Не в этом случае, но в других местах так бывает. Изменения готовятся и отлаживаются где-то в папках разработчиков, которые время от времени вычищаются и списываются с рабочего сервера. А на в рабочий сервер изменения вносятся руководителем отдела (или сисадмином), который перед этим эти изменения как-то проверил и... ничего подозрительного не заметил. Часто ли встречаются сисадмины, которые могут не просто просмотреть, допустим, новые тригеры к БД, но и в полной мере осоз https://opennet.dev/openforum/vsluhforumID3/90540.html#266 Thu, 27 Jun 2013 23:09:54 GMT есть мнение, что VCS применяют не только для того, чтобы при случае выяснить, кто виноват. хотя оно и с этим неплохо справляется&#8230; если, конечно, контора не шаражка, где в том числе и на админах экономят.<br>