Организация Linux Foundation представила (http://www.linuxfoundation.org/news-media/announcements/2015...) три новых проекта, которые получат финансирование от фонда Core Infrastructure Initiative, в рамках которого ведущие корпорации объединили свои усилия в направлении обеспечения поддержки открытых проектов, задействованных в ключевых областях компьютерной индустрии. Из подключившихся к работе фонда компаний можно отметить Amazon, Adobe, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, Hitachi, HP, Huawei, IBM, Intel, Microsoft, NetApp, NEC, Qualcomm, RackSpace, salesforce.com и VMware. В рамках очередного этапа финансирования данные компании выделили 500 тысяч долларов на повышение безопасности свободного ПО.Помимо ранее получивших финансирование проектов OpenSSL, OpenSSH и NTP, фонд объявил о предоставлении трёх новых грантов:
- Финансирование в размере 200 тысяч долларов получит инициатива по обеспечению повторяемости сборок (https://wiki.debian.org/ReproducibleBuilds) дистрибутива Debian GNU/Linux. Повторяемость сборки позволит подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних закладок, которые, например, могут быть интегрированы в результате использования поражённого в результате атаки компилятора или сборочного инструментария. Главным образом, различия при сборки одного и того же кода на разных системах вызваны непостоянством состава сборочного окружения и добавлением в файл меняющейся во времени служебной информации, такой как данные о дате сборки. Для обеспечения повторяемости необходимо полностью воссоздать эталонное сборочное окружение, использовать те же версии сборочного инструментария, идентичный набор опций и настроек по умолчанию, применять те же методы сортировки списков файлов. Несмотря на то, что проект развивается для Debian, к его разработке будут привлечены представители различных дистрибутивов, а итоговый инструментарий также можно будет использовать в Fedora, Ubuntu, OpenWrt и других дистрибутивах.
- Финансирование в размере 192 тысячи долларов получит проект по созданию TIS Interpreter, новой открытой системы для автоматизированного тестирования кода, которую можно будет использовать для подтверждения отсутствия уязвимостей в проектах. В качестве основы для создания новой открытой системы послужит ныне коммерческая система статического анализа кода TIS Analyzer. Ключевым отличием TIS Interpreter станет использование новой методологии, гарантирующей отсутствие ложных срабатываний, т.е. выявленные ошибки и проблемы с безопасностью не потребуют дополнительного ручного анализа на предмет ложного сигнала о проблеме и могут быть сразу помечены как требующие исправления. В рамках проекта также будут созданы специальные расширения и тестовые наборы данных для OpenSSL, позволяющие гарантировать отсутствие ложных срабатываний при проверке качества кода данного проекта.- 60 тысяч долларов выделено на инструментарий для проведения fuzzing-тестирования Fuzzing Project (https://fuzzing-project.org/). Инструментарий позволяет выявлять ошибки в программах на основании генерации потока случайно скомпонованных входных данных c последующим анализом аномалий в процессе их обработки проверяемым приложением. Получивший финансирование инструмент использует достаточно эффективную технику выявления проблем и уже проявил себя при поиске серьезных ошибок в OpenSSL и GnuPG. Полученные средства планируется использовать для проведения аналогичного fuzzing-тестирования различных открытых проектов, а также на оттачивание автоматизированных методов проверки.
URL: http://www.linuxfoundation.org/news-media/announcements/2015...
Новость: http://www.opennet.me/opennews/art.shtml?num=42476
Microsoft?
Да, без Балмера уже не торт. Сатья Наделла решил превратить в корпорацию Бобра, только вот репутацию тяжело отмыть...
А где Sony? Они же FreeBSD используют.
А каким боком тут FreeBSD? Новость про Linux Foundation и тех, кто рядом. У БСДшников, вероятно, есть свои организации и мероприятия.
В BSD поперхнулись, наверное.
Поясните пожалуйста, зачем Microsoft повторяемость сборок Debian? Я этого никак понять не могу...
наверно как-то с azure связано
> Поясните пожалуйста, зачем Microsoft повторяемость сборок Debian? Я этого никак понять
> не могу...Им LF сказала, что надо башлять. Оторопели, не смогли отказаться. Особенно их поразила сумма.
надо же пилить новую альтернативную ОС, с Мас, ОС\2 и других ОС взяли все что омгли и выжали, теперь линукс на очереди
Мне их деятельность тоже не нравится, испорчена репутация сильно сказывается.Но у них есть подразделение http://research.microsoft.com ту да кажысь и Мигель сбежал и основатель Генты... Они иногда хорошие исследования делают, например технологии защиты памяти PAX в Linux и OpenBSD кажись с исследовательских лабораторий мелкомагких пришли.. Также для ASLR много сделали...
ftp://ftp.research.microsoft.com/pub/tr/TR-2005-18.pdf
http://research.microsoft.com/en-us/um/people/helenw/papers/...
http://research.microsoft.com/pubs/70626/tr-2008-120.pdf
Нанятые микрософт учёные и их иследования ничего общего с юристами-копирастами не имеют и есть общедоступными без без патентов.
> Поясните пожалуйста, зачем Microsoft повторяемость сборок Debian? Я этого никак понять
> не могу...Кстати, им-таки надо
https://stallman.org/archives/2015-mar-jun.html#09_June_2015... , как оказалось. Чтоб профессионально брёвна в глазах макияжить. Сами не справляются.
сборка, которую невозможно повторить - это конечно высший пилотаж ...
Вы бы посмотрели как разработчики клиента биткоин изварачиваются. Несколько слоёв виртуальных машин, фиксированные установки даты и времени, запакованный тулчейн, сброс атрибутов файлов во время сборки.
им есть чего бояться - они ИГИЛ спонсируют.
> им есть чего бояться - они ИГИЛ спонсируют.ИГИЛ спонсирует USG.
Что правда - то правда...
А производитель топоров спонсирует Ракскольникова, угу
200 тысяч у.е. на то, чтоб выяснить имеют ли бинарики отношение к исходникам. ни разу не распил, да.
на самом деле это новый и более дешёвый способ реверсного инжиниринга: посадить достаточное количество высших приматов за компы и заставить их набирать любой код на любом известном им языке, после чего просто выбрать тот код, который имеет отношение к исходникам (при помощи, ессно, профинансированного продухта).
результатом будет не просто дезассемблированный код - это будет дезсиплюсплюсный, дезпаскальный, а то и дезъяваскриптофаерфоксованный код.
конспиролог?
Зачем сразу конспиролог?Человек курнул не той суспензии ( с каждым может случиться) и его проняло, и мозг родил мысль. Куда прикажете ему с этой мыслью податься? Конечно же на Опеннет, здесь всем рады, а глубокие аналитические мысли приветствуются днём и ночью.
Браво-браво, глубоко аналитическая мысль постом выше отражает самую суть философии Опеннета.
Чиорт, и тут спалили... ))
> 200 тысяч у.е. на то, чтоб выяснить имеют ли бинарики отношение к исходникам. ни разу не распил, да.Лолшто? Две годовых зарплаты senior level в какой-нибудь компании при постоянном найме. Как за эти смешные крохи собираются разрабатывать такую сложную штуку, как повторяемые билды в масштабе Дебиана? Судя по всему, там ещё очень большой энтузиазм нужен. Иначе никак.
> Лолшто? Две годовых зарплаты senior level в какой-нибудь компании при постоянном найме.две годовых зарплаты не самого последнего специалиста
> такую сложную штуку, как повторяемые билды
повторяемый билд это уже страшно сложная штука.
но вы напрягайтесь, проприерастам нужно именно это: гарантия что в фиксированном окружении гарантированно запустятся блобики.
> две годовых зарплаты не самого последнего специалистаНе самого последнего. Но и не самого первого. Просто среднего.
> повторяемый билд это уже страшно сложная штука.
Повторяемый билд hello_world.c — нет. Повторяемые билды всех пакетов в рамках такого дистрибутива, как Дебиан — да. Но это если подумать немного головой. Горлопанить-то просто.
> но вы напрягайтесь, проприерастам нужно именно это: гарантия что в фиксированном окружении гарантированно запустятся блобики.
Гуй на вижуалбейсик написал уже, клоун?
Это же демократический распил, совсем не то, что распилы в дикой неумытой России.
> 500 тысяч долларовКапля в море, их деньги не кому не нужны.
Секюрити эксперты и хакеры их сразу отошлют домой
Нет, ну почему же отошлют. Дают - надо брать.
Но вообще да, учитывая, какие громкие имена, сумма насмешила.
То есть сумма должна быть пропорциональна громкости имени, а вовсе не сложности задачи? Как оригинально.
> То есть сумма должна быть пропорциональна громкости имени, а вовсе не сложности
> задачи? Как оригинально.Так она ни тому, ни другому не соответствует.
> То есть сумма должна быть пропорциональна громкости имени, а вовсе не сложности
> задачи? Как оригинально.Заявленная сумма не соответствует сложности задачи, а малость суммы не позволяет считать этот взнос пиар-ходом. Вот этот-то парадокс и забавляет.
2 вопроса
1. по 500 тыс каждая компания или это суммарно?
2. 200+192+60=452....(хорошо что не по фаренгейту) куда еще 48 тыс подевали Ироды?
а банкет
>куда еще 48 тыс подевали Ироды?Майкрософту на налоги скинулись -- уж больно налоговая лютует.
> 2. 200+192+60=452....(хорошо что не по фаренгейту) куда еще 48 тыс подевали Ироды?занесли маркетологам или бухи потеряли по дороге.
> занесли маркетологам или бухи потеряли по дороге.Понять, простить.
а вы почему интересуетесь?
В долю хочет...
С проектами по тестированию более менее понятно.
Но зачем повторяемость сборок? Мне кажется, что чем разнообразнее бинарные сущности тем сложнее эксплуатировать уязвимости и распространяться троянам/червям и прочим "животным". Сборки собранные с разными опциями имею разный мапинг функций, а какие-то уязвимости появляются в пакетах собранных с только с определенными флагами ... В общем чем больше разнообразия тем сложнее разработчикам "зверьков" создать эпидемиологическую ситуацию, как это регулярно происходит с Windows.
> Но зачем повторяемость сборок?Ради вашей безопасности. Мы уже дали вам ответ, прочтите снова: "Повторяемость сборки позволит подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних закладок, которые, например, могут быть интегрированы в результате использования поражённого в результате атаки компилятора или сборочного инструментария."
Вообще-то тут прямой пристрел на гос. сектор и военку. Microsfot в силу проприетарности открыться не може или не хочет, а Debian - пожалуйста, всё под носом. А повторяемость сборок и отсутствие уязвимости - прямой путь к военной приёмке. А там баппки разадают не так как жмоты инвесторы и акулы бизнеса.
Лечение следствия, но не причины. .deb и связанное с ним - это лютый переусложнённый звиздец.
Ничего сложного там нет. Интересно, вы хотя бы линейные уравнения смогли осилить в школе?
они еще не проходили их.
Ну давай предметно, школоло. Только сдаётся мне, ты "поймал" медведя.Простенький вопрос: сколько файликов и каких требуется скачать с сервера, чтобы построить полный список пакетов для релиза с обновлениями? Не ответишь/начнёшь юлить - ПНX, быстро, решительно.
> Ну давай предметно, школоло. Только сдаётся мне, ты "поймал" медведя.
> Простенький вопрос: сколько файликов и каких требуется скачать с сервера, чтобы построить полный список пакетов для релиза с обновлениями? Не ответишь/начнёшь юлить - ПНX, быстро, решительно.То есть "лютый переусложнённый звиздец" тут в том чтобы скачать файлы? О, да, это действительно проблема .deb
Лол
Но сначала тебе надо ПНХ за попытку ставить условия.
Лютый в том, что одна ****** не смогла осилить даже текст простейшего вопроса. Перефразирую, хоть вопрос и не мой: как узнать, какие ИМЕННО файлы будут скачиваться, не распаковывая собственно DEB? Список этих файлов, умнейшее создание. Каг?
> Лютый в том, что одна ****** не смогла осилить даже текст простейшего
> вопроса. Перефразирую, хоть вопрос и не мой: как узнать, какие ИМЕННО
> файлы будутТы тоже не осилила. Там было про "сколько".
Вы двое джедаев-флопинетчиков хотите быть такими же умными, как APT? Что мешает? Расскажите подробнее!! В нетерпеньи.
> Там было про "сколько".А что тебе мешает догадаться сколько их, зная ответ на вопрос - какие? Образование?
> А что тебе мешает догадаться сколько их, зная ответ на вопрос -
> какие? Образование?Полный ответ уже был в #41. Тупая ***** всё прощёлкала.
> Тупая ***** всё прощёлкала.Сочувствую. Надо было уроки не гулять и не пришлось бы жаловаться сейчас.
Ответа не было, ни в #41, ни ниже. Школьник, полыхнув пyканoм, полез разбираться "за жизнь". :-)А правильный ответ на мой вопрос - "а xeр его знает", потому что слишком много привходящих параметров: release codename, компоненты, точная версия релиза и наличие 3х видов обновлений. Всё это делает невозможным точное определение списка пакетов, которые "100% есть в релизе", а также их версий. Только приблизительно.
> Ответа не было, ни в #41, ни ниже. Школьник, полыхнув пyканoм, полез
> разбираться "за жизнь". :-)
> А правильный ответ на мой вопрос - "а xeр его знает", потомуНет, правильный ответ в #41 -- это никому не надо и "ставить мне условия".
> определение списка пакетов, которые "100% есть в релизе", а также их
> версий. Только приблизительно.Ну, в отдельные моменты времени, меня устраивает приближение списка всех пакетов во всех .jigdo нужного релиза под целевую архитектуру.
> это никому не надо"Не работает - не нужно", ага, это я уже где-то слышал. Страус х*ев.
На самом деле это базовая операция для массовой сборки кастомных пакетов под целевой релиз. То что сейчас с каждым пакетом приходится долбаться по несколько часов минимум - это нихрена не нормально. А массовый билд затруднён как раз таки неповоротливостью инфраструктуры.
Только ведь тебе всё как об стенку горох, да? Упёрся как баран, и игнорируешь все доводы. Так проще. Думать не надо, вникать во что-то там, разбираться в предмете надо. Дебиан - лучший и ниипёт! Так проще.
>> это никому не надо
> "Не работает - не нужно", ага, это я уже где-то слышал. Страус х*ев.Я имел в виду не надо решать твои проблемы.
> На самом деле это базовая операция для массовой сборки кастомных пакетов под
> целевой релиз. То что сейчас с каждым пакетом приходится долбаться поAPT справляется, pbuilder справляется. [почти с той задачей, насколько я не понял.] DNF не предлагаю.
За несколько секунд. Кто ж я такой, чтоб запрещать Вам проводить время жизни?
О! Ещё есть MANCOOSI, на ентерпрайсной джавве. Тебе понравится!!! Время жизни - только в путь. На, в Debian oldstable --
Package: cudf-tools
Description: command line tools for package upgrade problem descriptions
Package: libcudf-dev
Description: C library to access descriptions of package upgrade problems
Package: libcudf-ocaml-dev
Description: OCaml library to access descriptions of package upgrade problems
Package: apt-cudf
Description: CUDF solver integration for APT
Package: dose-builddebcheck
Description: Checks whether build-dependencies can be satisfied
Package: dose-distcheck
Description: Checks whether dependencies of packages can be satisfied
Package: dose-extra
Description: Extra QA tools from the Dose3-library
Package: libdose3-ocaml
Description: OCaml libraries for package dependencies (runtime files)
Package: libdose3-ocaml-dev
Description: OCaml libraries for package dependencies (development files)+ какой-то EDOS
Package: ceve
Description: utility to parse package dependencies as set of constraints
Package: libdose2-ocaml
Description: OCaml libraries for managing packages and their dependencies
Package: libdose2-ocaml-dev
Description: OCaml libraries for package dependencies (development files)
Package: edos-distcheck
Description: Checks whether dependencies of packages can be satisfied
Package: pkglab
Description: interactive environment to explore package repositories> несколько часов минимум - это нихрена не нормально. А массовый билд
> Только ведь тебе всё как об стенку горох, да? Упёрся как баран,
> Вы двое джедаев-флопинетчиков хотите быть такими же умными, как APT? Что мешает?
> Расскажите подробнее!! В нетерпеньи.И да, ты наверное хотел сказать dpkg, а не apt, умник?
>> Вы двое джедаев-флопинетчиков хотите быть такими же умными, как APT? Что мешает?
>> Расскажите подробнее!! В нетерпеньи.Я грю, подробнее, с--а, слышь? Бесполкоит список файлов?? Сильно???
> И да, ты наверное хотел сказать dpkg, а не apt,
Сказал, что хотел. Я знаю, кто у меня загружает^Wделает списки .deb-ов для загрузки.
Но ты можешь продолжать стремиться к уровню "ума" APT, я не возражаю.> умник?
> Я грю, подробнее, с--а, слышь?Спокойнее, товарищ. Никто ничего тебе не должен.
>> Я грю, подробнее, с--а, слышь?
> Спокойнее, товарищ. Никто ничего тебе не должен.Я уржусь если это реально тёлки спорят..
> Лютый в том, что одна ****** не смогла осилить даже текст простейшего вопроса.ТП, шла бы ты мимо
> Перефразирую, хоть вопрос и не мой: как узнать, какие ИМЕННО файлы будут скачиваться, не распаковывая собственно DEB? Список этих файлов, умнейшее создание. Каг?
Речь была про "лютый переусложнённый звиздец", а не то что вам не хочется распаковать файл. Чтобы было понятнее: "лютый переусложнённый звиздец" в распаковке deb или может быть "лютый переусложнённый звиздец" в том что вам хочется узнать список файлов не распаковывая deb? Со своими личными проблемами ПНХ сразу на выход.
Да и вообще, таким как вы надо строго проходить мимо если разговор не касается вас лично. Спасибо.
Лёд приложи. И к голове тоже.Вот здесь, один из корифеев СПО говорит, что тулзы и инфраструктура Дебиана - сгнили до основания. http://blog.liw.fi/posts/debian-developing-it-wrong/
> Вот здесь, один из корифеев СПО говорит, что тулзы и инфраструктура Дебиана
> - сгнили до основания.Прочитал его "Conclusion", и говорит он совсем не это. Враньё, с---а. Продолжай!
...раздался голос со стороны пaрaши. Бегом на максимальную!
> Лечение следствия, но не причины. .deb и связанное с ним - это
> лютый переусложнённый звиздец.Я освоил сборку .deb из дерева исходников на двух разных языках за два дня. С нуля. Где там лютый переусложнённый? Смешно же.
> Я освоил сборку .deb из дерева исходников на двух разных языках за два дня. С нуля. Где там лютый переусложнённый? Смешно же.Лично я разбирался со сборкой, созданием, пересборкой .deb и набром утилит debhelper (нужно было проинсталлить себе софт и пропатчить некоторые либы) где-то за вечер.
Уточню чтоб я в debian пришел из slackware, так что работа с .deb пакетами путем использования готовых утилит - это было как два пальца.
а я забил как понял что для этого нужно больше двух шагов, в слакваре одним шагом вообще делал, деб напрягает бессмысленными действиями.
> а я забил как понял что для этого нужно больше двух шагов, в слакваре одним шагом вообще делал, деб напрягает бессмысленными действиями.Откровения админов локалхостов такие милые. Ути-пути, заенька. Ути-пути, маленький.
> Откровения админов локалхостов такие милые. Ути-пути, заенька. Ути-пути, маленький.ржунимагу) админ локалхоста, гыгыгы!
Ты можешь сколько угодно семёнить, но случай "я успешно собрал полтора пакета у себя на локалхосте" - ничего не доказывает.
Будь волен думать насколько у тебя мозга хватает. Я не собираюсь тратить свое личное время на всяких глупых проходимцев.
Вали, раз нечего сказать по делу.
Подозрительная активность в последнее время наблюдается вокруг этого проекта, и эти бабки это лишнее доказательство тому что кто-то в нем заинтересован не просто так. Популярный проект, в топ по дистро вотч выбрался, многие юзают в продакшне, хотят корпорации подмять под себя, ибо хата и сусе уже под ними итак лежат. Короч опять к вопросу: "кому выгодно?"
> Подозрительная активность в последнее время наблюдается вокруг этого проекта, и эти бабки это лишнее доказательство тому что кто-то в нем заинтересован не просто так. Популярный проект, в топ по дистро вотч выбрался, многие юзают в продакшне, хотят корпорации подмять под себя, ибо хата и сусе уже под ними итак лежат. Короч опять к вопросу: "кому выгодно?"Вот именно поэтому есть DSC. Нет DSC, нет Debian. Из активов у Debian есть приблизительно ничего, торговая марка Debian принадлежит SPI (которая в свою очередь обычный американский нонпрофит 501(c)(3), которому законом запрещается зарабатывать деньги и количество пожертвований сильно ограничено), а сборочную ферму предоставляет вовсе университет, да ещё и вне юрисдикции США. Кому бы выгодно это ни было (hint: RedHat Inc.), законодательных методов нет или почти нет. А против беззакония ничего не поможет.