1.1, Аноним (1), 22:14, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +29 +/– |
Вот тебе и дурное "работает - не тронь", а потом используются годами протухшие либы с древними эксплойтами.
| |
|
2.48, Аноним (48), 09:01, 14/05/2020 [^] [^^] [^^^] [ответить]
| –9 +/– |
В реальном мире всё сложнее. Если в проекте найдется бодрый юноша, который будет всё обновлять без разбору, проблем не оберёшься. Иногда лучше потерпеть потенциальные уязвимости (кому ты нужен!) лишний годик, чем получать по голове от начальства и в режиме аврала ломать мозг над решением кучи свалившихся на тебя багов.
| |
|
3.50, ryoken (ok), 09:36, 14/05/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
>> потерпеть потенциальные уязвимости (кому ты нужен!)
Ботам инетовским всё равно. А кому-то именно ТЫ и нужен!
| |
3.88, Имя (?), 11:12, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>кому ты нужен!
Это справедливо разве что на локалхосте, на предприятии 1) ты отвечаешь за организацию 2) у компании есть что украсть и них всяко больше денег чем у тебя
| |
|
2.49, Твой Отец (?), 09:07, 14/05/2020 [^] [^^] [^^^] [ответить]
| –9 +/– |
А вы ссударь ратуете за содом и гоморру тысячи "цветов"? Эффективные манагеры (читай гуманитарии) жарят прогрессивную культуру написания софта, что бы по средствам новомодных обновлений заманить нас всех во все эти новомодные левацкие фреймворки которыми они управляют. Я вам простую вещь скажу, прогресс бывает плохой ,и хороший, всё зависит от того кто "девушку танцует". Проблема только в том, что леваки девушкой считают НАС!!!
По этому я за опенсорс, всегда можно вычислить людей которые писали код, и с какой целью.
| |
2.52, mumu (ok), 09:42, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вообще в цивилизованных странах считается нормальным при закупке приложений спрашивать каких стандартов при разработке кода они придерживались. И не писать там соответствия хотя бы самого простого ISO 27k это уже моветон и хорошая заявка на просер тендера.
| |
|
3.57, Michael Shigorin (ok), 10:34, 14/05/2020 [^] [^^] [^^^] [ответить]
| –5 +/– |
Synopsis располагается в стране нецивилизованной -- написано же: Mountain View, CA. Воспользовались бы привилегией жевать уже, что ли...
| |
|
4.74, mumu (ok), 14:19, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Synopsis вполне себе придерживается практик безопасной разработки по ISO и NIST. И они оказывают услуги по аудиту на соответствие стандартам безопасной разработки и архитектуры для тех, у кого нет своих собственных DevSecOps-ов. Что сказать-то хотели?
| |
|
|
|
3.86, www2 (??), 09:24, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Разверните мысль, пожалуйста. Что за "админский подход"?
| |
|
4.89, Аноним (89), 14:35, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
написано же "работает — не трогай"
намек, что не надо чинить (менять настройки) то, что не сломано
| |
|
|
|
1.2, Аноним (2), 22:21, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Наверное, чукча не читатель, но как они проанализировали код закрытых проектов?
| |
|
2.7, GG (ok), 22:35, 13/05/2020 [^] [^^] [^^^] [ответить]
| +10 +/– |
За деньги.
Им за это платят и довольно хорошо платят.
| |
2.11, Аноним (11), 22:40, 13/05/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
Synopsys развивает платные сервисы для проверки и тестирования кода, данные из которых и использованы в статистике.
| |
2.80, yara (?), 20:10, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Бинарники можно сканировать. Если есть бюджет - компилируем все релизные версии условных Х тыс. самых популярных открытих либ разными компиляторами, находим в них уникальные последовательности байтов, пишем Yara правила (Yara rules), и сканируем бинарники.
| |
|
1.4, user90 (?), 22:26, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А уж в том, что хомячье впендюривает на свои ведроиды!!! О, это просто жЫр! Нет уж, я с обычным кнопочным, уже 5 лет ;)
| |
|
|
3.8, user90 (?), 22:35, 13/05/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
С древним ведроидом. Чо ж ты хочешь, моментально прозреть дано не каждому.
| |
|
4.22, Аноним (22), 01:51, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так она, скорее всего, без всяких прошивок вообще была. Правда, и разговоры не шифровала.
| |
|
|
|
1.9, Аноним (9), 22:38, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Не может быть. И да, очень часто они слинкованы статически. Или там старая версия апи, устаревшая 20 лет назад и подмена файла на новый ни к чему хорошему не приведёт (даже при доступе к коду). Обновлять? Пфф, да кому это надо. За это пользователи платить не будут, им подавай новый сплашскрин. Вот это открытия в 2020 году.
| |
|
2.20, анонимуслинус (?), 01:22, 14/05/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
в том то и дело , что старый код работает хорошо в связке с другим таким же старым кодом для которого он писался, а если решил собрать пингвина с ужом , то потрудись выполнить проверку на совместимость)) часто вообще проблемы вырисовываются не в самих программах, а на их стыке, когда они открывают лазейки именно при работе друг с другом.
| |
|
1.12, Аноним (12), 22:52, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
"..Поэтому нужно срочно удалить атавсюду УСТАРЕВШИЙ код!!!111"
С Уважением,
Юный Смузихлёб.
| |
|
2.30, qetuo (?), 03:32, 14/05/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Дорогой неСмузихлёб, в софте постоянно находят и латают дыры. Ничто не пишется идеальным с первого раза. Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости. Если вам нравится пользоваться дуршлагом, пользуйтесь на здоровье, но не обвиняйте других в смузихлебстве.
| |
|
|
4.40, коржик (?), 07:06, 14/05/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
старый код выкидывать сложно. Иногда просто для того, чтобы обновить библиотеку до свежего состояния нужно потратить человеконеделю.
И то не факт что заработает. Иногда просто не знаешь к чему такое обновление приведёт. Вот и сидим на двух стульях
| |
|
5.59, Michael Shigorin (ok), 10:39, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Разумеется; и это хороший повод подружиться с апстримом и обеспечивать своими ресурсами в кооперации с ним поддержку LTS-веток: win-win.
| |
|
|
3.92, Аноним (92), 23:03, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Поэтому да, нужно выкидывать устаревший код, переписывать на новый, обновлять зависимости.
Почему cмyзиxлёбы считают новейший код априори идеальным и безопасным?
Пофиксишь пару неведомых теоретических уязвимостей в старом коде, который работал дохрена времени без проблем, добавишь 2 десятка новых, более модных-молодёжных. Только пока еще не обнаруженных.
| |
|
|
1.13, анончик (?), 22:55, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
всего-то 75%? я недавно в последней версии одного очень популярного у фотографов приложения нашёл ruby 2.2. написал в поддержку, а они такие "это вам повезло, что мы 1.8 недавно выкинули"
| |
|
2.23, Аноним (23), 01:51, 14/05/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
С Руби была история как с Питоном 2/3, т.е. для 1.8 существовала огромная экосистема, а когда в 1.9+ запилили VM еще несколько лет пакеты обновлялись.
Нет ничего удивительного, что никто не хотел браться и разгребать клубок зависимостей.
| |
|
3.25, Crazy Alex (ok), 02:28, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что "модные молодёжные" вообще в каком-то своём мире живут. То ли дело скучные плюсы, заботящиеся о совместимости
| |
|
4.51, Аноним (51), 09:41, 14/05/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
В плюсах заботиться об обратной совместимости жизненно важно, чтобы была хоть какая-то переиспользуемость бинарников, а не бесконечная многочасовая пересборка всей проги с 0, а-ля Gentoo. Из-за манглинга, разнящегося от компилятора к компилятору и кучи соглашений о вызове, а также национальных особенностей экспорта символов, что в Линуксе(SO), что в Винде(DLL), сломать ABI в плюсах ну очень просто. А если нужно сделать либу, которую можно юзать и из C, и из C++, то лучше вообще куда-нибудь в дистрибутив класть ридми о том, чем собирались либы.
| |
|
3.29, анончик (?), 03:20, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
я в курсе про переход с 1.8 на 1.9. и то, что 1.9.1 и 1.9.2 были тоже не совместимы.
но только это всё уже было почти 10 лет назад, а мы как раз говорим про "устаревший открытый код"
| |
|
|
1.14, Аноним (14), 23:09, 13/05/2020 [ответить] [﹢﹢﹢] [ · · · ] | –4 +/– | Я так понимаю, что речь идёт о коммерческих приложениях предоставляемых клиенту ... большой текст свёрнут, показать | |
1.26, deeaitch (ok), 02:42, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Чего и следует ожидать от коммерческого ПО. Кроме как ... на палочке ничего не полчишь. Разве что кошелёк полегчает.
| |
1.27, Страдивариус (?), 02:46, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Закономерное следствие "сейчас мы заинсталлимся в /opt с полным перечнем собственных версий share object'ов"
| |
|
2.32, Карабьян (?), 06:01, 14/05/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Если перечень есть, то еще не так уж плохо, чаше бещ него, ибо зачем это пользователю?
| |
|
1.28, Алконим (?), 03:11, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
При анализе внутренних софтварь используемых исключительно во внутренних сетях были получены данные что они старые и давно не обновляются потому что работают стабильно и ресурсы на на разработку уже потрачены. Новость не о чем.
| |
1.35, Аноним (35), 06:29, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Вот именно поэтому во всех приличных местах чтобы подключить опенсорсную библиотеку к проекту надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела, и, в некоторых случаях проводить патентное исследование.
Потому что опенсорс дыряв и с ним связываться почти всегда себе дороже - за что в приличных местах за него дают по лицу.
| |
|
2.37, Тот_Самый_Анонимус (?), 06:34, 14/05/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
>надо получать разрешения и положительные заключения от техлидов, менеджмента, юридического отдела
Это для якобы свободного гпл так надо. С апачем, бсд, илипубличным достоянием проблем нет.
>в некоторых случаях проводить патентное исследование
Ну это в совсем нецивилизованной сшашке только надо.
| |
|
3.38, Аноним (35), 06:40, 14/05/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
>Ну это в совсем нецивилизованной сшашке только надо
Неа. Пишу из японской корпорации. Например, нам недавно по причинам патентов юр отдел запретил использовать opencv, полгода уже пилим с нуля свой велосипед.
| |
|
4.46, YetAnotherOnanym (ok), 08:26, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
И как это поможет в ситуации, когда оптимальный метод найден до вас и запатентован? Причём, скорее всего, с формулировкой, допускающей максимально широкое толкование?
| |
4.62, Michael Shigorin (ok), 10:43, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>>>> патентное исследование
>> Ну это в совсем нецивилизованной сшашке только надо
> Неа. Пишу из японской корпорации.
Ну это совсем то же. В плане конкретно патентов на математику ;-)
Свободу Окинаве!
| |
|
5.71, Аноним (51), 13:48, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот честно, патенты на алгоритмы - это дичь и шиза, максимум это может быть коммерческой тайной, которую ты должен защищать своими силами (обфускация, например). Если кому-то хватило мозгов разреверсить - сам виноват, плохо спрятал. Техно-лобби в Америке совсем зажравшееся еще со времен Эдисона. В идеале, исследования, и матвыкладки всегда должны публиковаться как публичное достояние, а вот реализация - да хоть 33 проприетарных лицензии на нее накати, дело твое. У кого руки прямые и формулы читать и понимать умеет, тот код сам напишет, главное не будь мудаком и поделись математикой.
| |
|
|
|
2.61, Аноним (89), 10:41, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
эм. Разрешения и положительные заключения нужны, чтобы подключить и не обновлять?
| |
2.70, Gefest (?), 13:45, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>получать разрешения и положительные заключения от техлидов
Вот поэтому , берут опенсорсную библиотеку, выдирают копирайты, рефакторят переименовава пару классов и ctrl-c ctrl-v
| |
2.79, Аноним (79), 19:21, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
100% согласен. OS это зло. Хотели как лучше получилось как всегда. Вместо обмена знаниями и идеями, это теперь социально-политический клуб.
| |
|
|
2.68, Аноним84701 (ok), 11:28, 14/05/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Эта новость — шикарный ответ на комментарий в соседней новости https://www.opennet.dev/openforum/vsluhforumID3/120621.html#18
>>А в старых версиях coreboot байты прокисают?
Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем: коммерческого закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).
К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому намного честнее заявить "мы не поддерживаем - ведь тот самый аноним не хочет присылать патчи или донатить", чем иметь список поддержки "для галочки".
> Пусть теперь думает.
Пусть аноним тоже попробует - авось понравится 🙄
| |
|
3.84, Карабьян (?), 07:50, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> Этот ответ -- шикарная демонстрация очередного сравнения *опы с пальцем: коммерческого
> закрытого софта "фиг пропатчишь" и открытой, специфичной фирмвари (кстати, мусье не
> затруднит дать нам список удаленных или локалрут-уязвимостей фирмварей?).
> К тому же, в нашей вселенной недостаточно оставить железку в списке поддерживаемых
> -- у нас не водятся волшебные эльфы, автоматически бэкпортироующие фиксы. Поэтому
> намного честнее заявить "мы не поддерживаем - ведь тот самый аноним
> не хочет присылать патчи или донатить", чем иметь список поддержки "для
> галочки".
>> Пусть теперь думает.
> Пусть аноним тоже попробует - авось понравится 🙄
Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает. Патч тоже палка еще та: если он работает локально, зачем им делиться? Чтобы исправлять ошибки на чужих конфигурациях? И если работает сейчас, то может не будет работать в будущем - а это кто-то еще кроме присылающего сможет починить? И опять массовость нужна: тогда исправление выгодно вносить, в одиночку - нет
| |
|
4.90, Аноним84701 (ok), 16:43, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.
Да я не спорю. Хотя если действительно нужно, то можно "кинуть клич", поискать единомышленников.
Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами) за свои хотелки, то наверное не стоит и ныть "вооот, взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?
| |
|
5.91, Карабьян (?), 16:53, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> Вообще-то чаще железку дешевле другую купить, чем что-то куда-то донатить, такое только при массовости работает.
> Да я не спорю. Хотя если действительно нужно, то можно "кинуть
> клич", поискать единомышленников.
> Только вот если не хочется "впрягаться" и как-то платить (временем или деньгами)
> за свои хотелки, то наверное не стоит и ныть "вооот,
> взяли да убрааалиии! А мне было нужноооо!" и тем более, требовать?
Если было и как-то работало, то понятно возмущение, впрочем, право на форк тоже никто не отменял; да, действительно, не виду повода для спора
| |
|
|
|
2.72, Аноним (72), 13:51, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
> >А в старых версиях coreboot байты прокисают?
> Пусть теперь думает.
А там закрытый код, что-ли? Ну очень ты дорожишь своей железкой, возьми, да сам портируй патч безопасности и собери. Или за деньги закажи патч. Это же отрытый продукт. Зачем бесплатно заниматься теми железками, которые почти никто не использует?
| |
|
1.41, А.Н.Оним (?), 07:15, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Не ну, ребят. Я конечно понимаю что статистика очень интересная и в выводах наверняка всё тоже показательно... Вот только что это за выборка такая? 1253 приложения. Думается мне что на все эти миллиарды людей коммерческих приложений должно быть на несколько порядков больше. А если так -- статистика ни о чём.
Плюс наверняка Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили.
Так что цифры хоть и страшные, но абсолютно бесполезные.
"Много кто юзает опенсорс библиотеки" -- то же мне новость.
"Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.
| |
|
2.45, Аноним (45), 08:24, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вот только что это за выборка такая?
> Synopsys приглашали для аудита кодовых баз ребята которые и так сомневаются в безопасности того что сотворили
Ага, настоящие бизнесмены не сомневаются в своем идеальном коде, и в эту неправильную статистику не попадают. А то уж они бы показали немытому опенсорсу, как надо код писать!
> "Опенсорс библиотеки забрасываются и вообще бывают дырявыми" -- то же мне новость.
А если и не забрасываются, зачем обновлять? Код закрытый, никто не видит, пипл хавает.
| |
|
3.75, Аноним (75), 14:25, 14/05/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А то уж они бы показали немытому опенсорсу, как надо код писать!
Вспомнил 10 лет не закрытый dirty cow, через который опенсорсный кocтылинупc не имел только ленивый, пожал плечами.
| |
|
|
1.42, Аноним (-), 07:48, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
4. "Программа имеющая проприетарную лицензию некачествена!". Это будет пятым "Определением свободного программного обеспечения".
4 предыдущих, (от 0 до 3-х) проповедовал нам сам Великий Столлман.
Воистину, воистину!
| |
|
2.64, Michael Shigorin (ok), 10:47, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вы вот приржать пытались, а качество обслуживаемости у закрытого софта и впрямь принципиально иное -- столкнётесь, поймёте. Когда исходники _есть_ -- даже если ни разу не собирался туда лезть, это страховка на случай, когда полезть всё-таки придётся: самому ли, найдя ли специалиста. Очень доходчиво, между прочим.
| |
|
3.69, Аноним (69), 11:34, 14/05/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну да, специалист, обычно того же уровня квалификации, посмотрит на исходники которые _есть_ и скажет: говно, выкинуть, переписать всё заново.
Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка. Правда, сомневаюсь.
| |
|
4.83, Michael Shigorin (ok), 00:12, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Ну да, специалист, обычно того же уровня квалификации, посмотрит
> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
> всё заново.
Это скорее национальная специфика, не стоит совсем уж обобщать.
> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
> Правда, сомневаюсь.
Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда его наличие -- последний довод.
| |
|
5.85, Карабьян (?), 07:55, 15/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну да, специалист, обычно того же уровня квалификации, посмотрит
>> на исходники которые _есть_ и скажет: говно, выкинуть, переписать
>> всё заново.
> Это скорее национальная специфика, не стоит совсем уж обобщать.
То есть нация плохая? Программисты-нежоучки? А где профессионалы?
>> Тоже 75% случаев, но в оставшихся 25% может и сгодится страховка.
>> Правда, сомневаюсь.
> Столкнётесь (не дай Бог, конечно) -- проверьте, отпишитесь.
> В смысле именно когда вынужденно приходится лезть в чужой нетривиальный код, когда
> его наличие -- последний довод.
Кто-нибудь сталкивался? Как успехи? И как после таких вмещательств полет нормальный, обновления бинарные там?
| |
|
|
|
|
1.53, Аноним (53), 09:44, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Наиболее часто встречающейся опасной уязвимостью стала проблема CVE-2018-16487 (удалённое выполнение кода) в библиотеке lodash для Node.js
Я на гитхаб загрузил обычный HTML-шаблон с минимум JS вместе с GULP сборкой, то мне тоже гитхаб сыпал предупреждения, что, мол, есть уязвимость в lodash. Я так и не понял чем это чревато для обычного темплейта и фиксить не стал. Вероятно, я тоже попал в эту статистику. Интересно, как много подобных случаев попали в эту статистику?
| |
|
2.54, Аноним (53), 09:45, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Имеется ввиду когда уязвимость есть, но что-то выжать из неё "полезного" нельзя (или можно только я этого не знаю?)
| |
2.66, Michael Shigorin (ok), 10:49, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Вероятно, я тоже попал в эту статистику.
Если Вы не платили Synopsis в бессознательном состоянии -- точно нет.
По крайней мере напрямую. :)
| |
|
1.55, ПрограммистУдалённыхВебТерминалов (?), 10:18, 14/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Это они как GitHub просканировали package.json увидели старый lodash и давай поднимать тревогу? А что если я не использую уязвимые функции? Или не в браузере как описано в CVE? Или наоборот в браузере.
Проблема со старыми багами и уязвимостями реальна, но цифры высосаны из пальца.
| |
|
2.67, Аноним (67), 11:09, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Всё ПО нынче выглядит, как тарелка со спагетти, и уязвимость в одной функции запросто может выстрелить в другой только за счёт используемого общего кода, например.
| |
|
3.73, Аноним (51), 14:12, 14/05/2020 [^] [^^] [^^^] [ответить]
| +/– |
Эм, оно всегда будет так выглядеть, потому что реюзабилити стоит во главе угла у всех нормальных разрабов, которым впадлу плодить сущности. Нельзя придумать архитектуру, в которой будут "магические" модули, которые в себе так хитро спрячут нюансы реализации, что стрельнувший модуле произвольный заранее неизвестный косячок не выберется за его пределы. Только тесты и личная квалификация/квалификация команды при разработке, другого не дано, чтобы хотя бы процентов на 80% быть уверенным, что ПО достаточно качественное.
| |
|
|
|