Компания White Source опубликовала (http://www.prweb.com/releases/White_Source_Software/OpenSour...) результаты исследования проблем с безопасностью, вызванных использованием open source разработок в коммерческих программных проектах. В итоге сделан вывод, что наиболее распространённой причиной проблем с открытым кодом в коммерческих программных проектах является поставка в составе таких проектов устаревших версий открытых библиотек. Разработчики коммерческих систем, постоянно не отслеживающие все обновления для задействованных открытых компонентов, подвергают своих пользователей большому риску получить не выявленные вовремя проблемы, связанные с безопасностью.В частности, устаревшие библиотеки поставлялись в 85% из почти трёх тысяч изученных в процессе исследования коммерческих проектов, содержащих открытые компоненты. 23% из рассмотренных коммерческих проектов содержали неисправленные уязвимости. Между тем, лишь 1.3% из уязвимых открытых библиотек были обновлены до последней версии (для остальных 98.7%, проблем можно было избежать, обеспечив поставку последних выпусков библиотек). 93% уязвимостей в поставляемых в составе коммерческих продуктов открытых библиотек имели средний или высокий уровень опасности. В качестве наиболее часто встречающихся источников проблем, связанных с наличием необновлённых библиотек, отмечаются уязвимости в Spring Framework, Apache POI, Spring-Security, Apache Xerces2 и Apache Commons FileUpload.
URL: http://www.prweb.com/releases/White_Source_Software/OpenSour...
Новость: http://www.opennet.me/opennews/art.shtml?num=38533
так это проблемы не с открытым кодом, а с закрытымPS У тебя не закрытый, а открытый перелом! (с)
Кстати, ты не в курсе, почему с вероятностью 99% на Windows 8 будет работать Norton Commander или Norton Utilites for Windows 3.11?
Не гони. Порой писанное для XP не пашет в свисте.
Порой. Но вероятность намного меньше.
Щаз. Миранда не заработала. Far возымел массу проблем. А 64-битных программ вообще 3 штуки на всю планету.
Во-первых, не заработают. Во-вторых, когда не заработает открытая утилита, её можно будет просто пересобрать. Если не заработает закрытая, ничего уже не сделать. Что смешно, ибо бабки-то уже уплочены.
А ты попробуй.
Попробовать что? NC и NU не работают (а если бы и заработали, удачи их запустить на Itanium и ARM каоторые Windows якобы поддерживает), а опенсорсные утилиты выпущенные когда NC и NU не было даже в планах я использую каждый день.
Че, там статикой собрано? Ну, дык.
Напомнило анекдот про неуловимого Джо
на 64 битной семерке, не работают досовские программы
в бухгалтерию привезли новые компы, а софт не пашет...
А DOSBox применять не судьба?
> на 64 битной семерке, не работают досовские программызато работает DosBox, в котором бывает работают досовские программы ))
Я недавно пытался установить в Windows 8 программу, которая отлично работала в Windows 7. Установилась, но работать не захотела.
> с вероятностью 99% на Windows 8 будет работатьА, так вот почему там тачпад на lenovo не заработал -- он входит вот в тот 1%...
>lenovoМне достался рабочий ноут производства Lenovo, вот какому муд* пришло в голову сделать инверт клавиш F1-F12 и функциональных клавиш ноутбука, типа настройки яркости, звука, и т.д. Я регулярно пользовался клавишами F1-F12, а некоторыми из них особенно часто, а теперь приходится вместо этого каждый раз второй рукой зажимать Fn перед использованием.
> Мне достался рабочий ноут производства Lenovo, вот какому муд* пришло в голову
> сделать инверт клавиш F1-F12 и функциональных клавиш ноутбукаКитайскому, какому. Покопайтесь в настройках фирмвари.
>>lenovo
> Мне достался рабочий ноут производства Lenovo, вот какому муд* пришло в голову
> сделать инверт клавиш F1-F12 и функциональных клавиш ноутбука, типа настройки яркости,
> звука, и т.д. Я регулярно пользовался клавишами F1-F12, а некоторыми из
> них особенно часто, а теперь приходится вместо этого каждый раз второй
> рукой зажимать Fn перед использованием.О ДАААА, к моноблокам леново в комплекте идут клавы с такими кнопками, внешнюю клаву хоть поменять можно.
> Кстати, ты не в курсе, почему с вероятностью 99% на Windows 8
> будет работать Norton Commander или Norton Utilites for Windows 3.11?Угу. То-то я несколько недель парился и пытался заставить работать принтер в win7, который великолепно работал в xp, просто потому, что разработчик дров на сайте разместил одни и те же дрова для vista и win7, причем под вистой они пахали, а под семеркой слали лесом. К слову в Лине почему-то все работало без проблем под любым дистрибутивом (ибо cups).
Обратная совместимость, в чем проблема??
> Кстати, ты не в курсе, почему с вероятностью 99% на Windows 8
> будет работать Norton Commander или Norton Utilites for Windows 3.11?Far Power Pack под 64 не взлетел ...
Пытались на ноутбуке жены с win7 pro 64bit запустить нужные ей программы, работавшие в XP. Программы похоже писались на Borland C++ 3.1 для Windows.В общем, они заработали только в режиме XPMode, то есть в виртуалке, благо для pro-версии windows можно поставить лицензионно-чистую winXP.
>уязвимости в Spring Framework, Apache POI, Spring-Security, Apache Xerces2 и Apache Commons FileUploadИными словами, - на яве.
Иными словами, джависты меньше других брезгуют открытым кодом.
Дык идеология обязывает юзать кучу сторонних библиотек. И это хорошо.
Такое ощущение, что у джавистов считается нормальным скопипастить кусок кода и забыть про него.
Ощущение ошибочно.
> Иными словами, - на яве.И, что характерно, собственно Java тут вообще ни при чём. Просто в практике разработки Java приложений имеет место jar hell вполне похожий на dll hell в Windows.
И ещё в Java есть инструменты способные победить jar hell (maven/ivy, osgi)
Вообще если проект на maven/ivy то апгрейд библиотеки в 90% случаев - это просто изменение одного номера в сборочном файле.
Не на Яве, а там где надо писать много, быстро и дешево.
>надо писать много, быстро и дешево.
>многоне на яве
>быстро
не, точно не на яве
>дешево
а вот это совсем не на яве, потому что "ява" и "дешево" - это оксюморон
Причём тут вообще Open Source? Если бы в исследуемых коммерческих проектах использовались проприетарные сторонние библиотеки, то выяснилось бы, что их обновляли точно так же редко. Правильнее было бы сделать вывод, что «Разработчики систем, постоянно не отслеживающие все обновления для _любых сторонних компонентов_, подвергают своих пользователей большому риску.»
Проблема в том, что для открытых библиотек открыта информация по багам, в т.ч. поправленным, соответственно можно целенаправлено искать закрытый софт, который использует старые библиотеки и воспользоваться готовыми уязвимостями.
Проблемы индейцев...
Т.е проблема в закрытом софте.
Правильнее сделать вывод что использование репозиториев и пакетных менеджеров есть правильный путь. А качать инсталляторы блобов с сайтов - унылое гоов...
ну а что еще требовать от систем с отсутствием центрального обновления и политикой приложений "все свое ношу с собой"?
О, братья по разуму!
> ну а что еще требовать от систем с отсутствием центрального обновления и
> политикой приложений "все свое ношу с собой"?+1
И не понятно что мешает разработчикам закрытого ПО формировать свои пакеты используя окружения дистрибутива. Хотя самым простым ответом может быть, "Мы же не можем выпускать закрытое ПО без предварительного теста всех компонентов" На мой взгляд нет смысла тянуть со своей программой библиотеки которые доступны в дистрибутиве
Там средняя публика такая, что чем объяснить им, что такое дистрибутив, репозиторий и т.п., дешевле новых разработчиков нарожать.
> Там средняя публика такая, что чем объяснить им, что такое дистрибутив, репозиторий
> и т.п., дешевле новых разработчиков нарожать.угу. особенно радует поддерживать 100500 разных хаков в коде ради того что в разных дистрибутивах разные версии одной и той же либы.
Особенно, если оно допатченное для совместимости со всяким г.
> угу. особенно радует поддерживать 100500 разных хаков в коде ради того что
> в разных дистрибутивах разные версии одной и той же либы.Ну если решил что твое ПО, работает с собственными версиями библиотек, вполне разумно обновлять свой огород своевременно. К тому же речь идет коммерческом ПО а значит должен быть стимул делать все продуманно. Но как видно профит не всех стимулирует, из принципа зачем что то менять если оно и так работает
ты не разу не сталкивался что обновление библиотеки в дистрибутиве ломает логику приложения?
и что делать если 100500 дистрибутивов и в каждом зоопарк версий одной и той же библиотеки?
А говорит ли это в пользу этого приложения или разработчика ?
У криворуких программистов ломает логику любое действие вообще с компьютером.
Изменение ABI или API не такое уж и редкое явление.
Тот-же libpng 1.4 и 1.5.
> Изменение ABI или API не такое уж и редкое явление в мире СПО.// fixed
> Тот-же libpng 1.4 и 1.5.
// Warcraft III, скомпилированный для Win 95 - запускается и работает и на XP и на 7.
> Изменение ABI или API не такое уж и редкое явление.
> Тот-же libpng 1.4 и 1.5.Разумные разработчики если не участвуют в апстриме, то присматривают за ним. Если есть явное желание избежать изменений подобного плана -- скидываемся ресурсами и организовываем более длительную поддержку предыдущих веток без ломания ABI/API (если дырка не была связана с недостатками именно в них).
А халявщики от проприетарщины пролетают вместе со своими клиентами (хотя клиенты, как правило, пролетают крепче).
Мешают? Минимальные исправления в коде открытой библиотеки, которые иногда весьма проблематично портировать в новую опенсоур либ.
Это, как правило, политика закрытого софта. Им наплевать на пользователей. Главное чтоб купили, а потом за новые деньги править уже давно исправленные баги. Вкладывая деньги в коммерческий софт фраер ушастый платит дважды, а то и трижды.
Если вы используете СПО, купленное у разработчика, вы ничуть не хуже защищены от проблем, чем в случае проприетарного ПО. Обычно лучше, потому что в СПО не принято городить несовместимые с повсеместно применяемыми решениями костыли.
Если вы используете ПО бесплатно - неважно, проприетарное или открытое - ваши проблемы вам нужно решать самостоятельно. Никакой разницы.
>Это, как правило, политика закрытого софта.Нет такого правила. Есть добросовестные разработчики, а есть халтурщики. И в разработке СПо и в разработке ППО. Остальное - ваши фантазии.
> Нет такого правила.Де-факто есть.
> Есть добросовестные разработчики, а есть халтурщики.
Да.
> И в разработке СПО и в разработке ППо.
Да.
> Остальное - ваши фантазии.
Нет. Вы мало видали или не умеете делать выводы. То, что этот исходник подлежит публикации -- разительным образом влияет даже на вполне совестливого разработчика, у которого просто вечный недостаток времени. Этот недостаток, как правило, он начинает иначе рассматривать и распределять.
>>Это, как правило, политика закрытого софта.
> Нет такого правила.Если в твоей методичке не упоминается, это не значит что его нет.
Особо радуют инструкции по установке только определённой версии Java для какого-то суперпродукта и отключению автоматического обновления.
Потому что мало кто внедряет непрерывную интеграцию (Continuous Integration, CI) в своих продуктах. Большинство работает по-старинке, используя "водопадную" модель процесса разработки. Продукты на Java для управления жизненным циклом разработки в основном используют Ant, а не Maven/Gradle. В такой обстановке обновления зависимостей трудоёмки и по сути никому особо не нужны — работает и ладно.У сишников CI вообще как "закат солнца вручную": достал код из системы контроля версий, достал новый код зависимостей оттуда же (но из других мест), собрал, вроде работает — опубликовал. Называется: пока не пнёшь ногой, ничего не делается само. Jenkins не для них.
> Потому что мало кто внедряет непрерывную интеграцию (Continuous Integration, CI) в своих
> продуктах. Большинство работает по-старинке, используя "водопадную" модель процесса
> разработки. Продукты на Java для управления жизненным циклом разработки в основном
> используют Ant, а не Maven/Gradle. В такой обстановке обновления зависимостей трудоёмки
> и по сути никому особо не нужны — работает и ладно.Да ну? А у меня наоборот - мавен везде. Собственно, мавен и есть средство, значительно облегчающее jar hell. Который образуется автоматически, когда от модулей нужен стабильный API. И когда некому оплачивать переписывание приложений на новые версии API модулей-зависимостей.
> У сишников CI вообще как "закат солнца вручную": достал код из системы
> контроля версий, достал новый код зависимостей оттуда же (но из других
> мест), собрал, вроде работает — опубликовал. Называется: пока не пнёшь ногой,
> ничего не делается само. Jenkins не для них.Ога, только как CI поможет в ситуации, когда старая зависимость более не поддерживается, а новая её версия изрядно ломает API? Постоянно переписывать под bleeding edge?
> Ога, только как CI поможет в ситуации, когда старая зависимость более не поддерживается, а новая её версия изрядно ломает API? Постоянно переписывать под bleeding edge?Если новая версия изрядно ломает API, то выбор всё равно никуда не девается, не так ли? ;)
Правильно пишешь. Только дженкинс уг.
Ну и при чём здесь Jenkins? Jenkins для сборки C'шных проектов прикручивается на ура. Только CI без модульного тестирования само по себе мало что гарантирует.
Помнится, убеждал разрабов одной Вин-софтины проапдейтить идущую в комплекте openssl.dll Кончилось тем, что мы плюнули, и стали подсовывать новую версию рук^W скриптом. В коммерческих сборках, что под Вин, что под Линь, такое овно мамонта попадается порой...
Спасибо, смешно! То есть одни говнокодеры клепают дыры на своём любименьком си/сипипи, а коммерческие разрабы виноваты, что не бегают каждую минуту на их сайт "не обновился ли пакет расчёта синуса?".
Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!
И потом, коммерческий мир занят созданием профита, а не играет в русскую рулетку "обновись и угадай что отвалилось". Однажды скомпиленный пакет не трогается и с ним интегрируются остальные системы.
В идеале, неплохо бы поддерживать новые версии, но сам же мир ФОСС не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в libpng. Так что риск допустим только у админов локалхоста, все остальные используют стабильные, хоть и старые версии.
> Спасибо, смешно! То есть одни говнокодеры клепают дыры на своём любименьком си/сипипи,
> а коммерческие разрабы виноваты, что не бегают каждую минуту на их
> сайт "не обновился ли пакет расчёта синуса?".Вообще-то, CI подразумевает покрытие кода тестами и автоматическое тестирование с отчётами о проблемах. В продакшен без тестов и их 100% прохождения код никто не выкладывает, ибо чревато "обновись и угадай что отвалилось".
> Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!
Вот люди и молятся (никто не мешает же!). А объективное качество кода основано на измерении (процедурах тестирования), а не субъективном ощущении, что всё хорошо и нормально.
> И потом, коммерческий мир занят созданием профита, а не играет в русскую
> рулетку "обновись и угадай что отвалилось". Однажды скомпиленный пакет не трогается
> и с ним интегрируются остальные системы.
> В идеале, неплохо бы поддерживать новые версии, но сам же мир ФОСС
> не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в
> libpng. Так что риск допустим только у админов локалхоста, все остальные
> используют стабильные, хоть и старые версии.Использовать старьё — заранее обрекать себя на прозябание в счастливом неведении о выявленных и исправленных уязвимостях. Так как ошибки в ПО есть всегда, их надо исправлять чем быстрее, тем лучше. И от этого никуда не деться: либо ты исправишь, либо тебя со временем хакнут. Для этого и придумали CI.
CI и 100% покрытие тестами не мешает писать глючный софт.
CI предохраняет только от явных проблем с тырфейсом. А если поломалось внутри? Предлагаете писать тесты к сторонним либам?> Использовать старьё — заранее обрекать себя на прозябание
Сравниваешь риски и решаешь. :) Мне вот хватило гемороя с хвалёными DevExpress - больше такое мутирующее отстоище в жизни никогда не буду юзать - что ни версия, то обломы и изменения. Быть на гребне этой позорной либы - это непродуктивно просирать дорогое девелоперское время. Т.е. проще взять изначальную версию и затачивать всё под неё. Единичный, зато реальный живой пример.
> CI предохраняет только от явных проблем с тырфейсом. А если поломалось внутри?
> Предлагаете писать тесты к сторонним либам?Сторонние либы лично я если и буду тестировать, то с очень большой неохотой, когда обнаружатся косяки именно в них (при этом найденными решениями и патчами к сторонним либам, как истинный проприетарщик, вряд ли поделюсь :)) ). CI придуман для систематизации личной ответственности производителей софта, а не сторонней.
>> Использовать старьё — заранее обрекать себя на прозябание
> Сравниваешь риски и решаешь. :) Мне вот хватило гемороя с хвалёными DevExpress
> - больше такое мутирующее отстоище в жизни никогда не буду юзать
> - что ни версия, то обломы и изменения. Быть на гребне
> этой позорной либы - это непродуктивно просирать дорогое девелоперское время. Т.е.
> проще взять изначальную версию и затачивать всё под неё. Единичный, зато
> реальный живой пример.Хочется быть сторонним тестером чужой софтины — ваш выбор. ;)
> Хочется быть сторонним тестером чужой софтины — ваш выбор. ;)Тсс, а то User294 носом в PS4 тыкать будет (и ведь поделом).
> Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!Не берите, никто не навязывает. То что коммерция что-то там берет, еще
не показатель качества.
Коммерция берет эти пакеты, чтобы сэкономить на разработке, и им это успешно удается.
Если они хотят еще и сэкономить на поддержке, без проблем - заключается договор с автором библиотеки, и он будет обеспечивать вам отсутствие проблем при обновлении.А гремлинов, которые питаются пылью из радиатора и при этом делают, чтобы все работало само - их не существует. Ни в СПО, ни в коммерции.
>[оверквотинг удален]
> сайт "не обновился ли пакет расчёта синуса?".
> Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти
> пакеты в дело!
> И потом, коммерческий мир занят созданием профита, а не играет в русскую
> рулетку "обновись и угадай что отвалилось". Однажды скомпиленный пакет не трогается
> и с ним интегрируются остальные системы.
> В идеале, неплохо бы поддерживать новые версии, но сам же мир ФОСС
> не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в
> libpng. Так что риск допустим только у админов локалхоста, все остальные
> используют стабильные, хоть и старые версии.а ты смишной -- мне понравилось -- продолжай.
> То есть одни говнокодеры клепают дыры на своём любименьком си/сипипи, а коммерческие разрабы виноваты, что не бегают каждую минуту на их сайт "не обновился ли пакет расчёта синуса?".И не говори! Вообще, клиенты должны просто тебе деньги давать, потому что ты такой хороший. А исправлять ошибки - вообще не барское дело, главное коншепт в powerpoint наваять и впарить "программный продукт" (тм) очередному лоху.
> Да при таком опенсорсном качестве надо молиться, что коммерция вообще берёт эти пакеты в дело!
Штука в том, что среди чистой "коммерции" - количество разработчиков катастрофически стремится к 0.
> мир ФОСС не гарантирует, что какой-нибудь файрфокс не развалится из-за ломающих изменений в libpng
Вообще-то, любая свободная лицензия включает фразы типа: THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES... Как, впрочем и большинство пропиерастных EULA. Только юридически - вам никто не должен.
А технически - ничего, конечно, не развалится. Есть такая вещь как обратная совместимость.
> Штука в том, что среди чистой "коммерции" - количество разработчиков катастрофически стремится
> к 0.Чушь. Штука в том, что сопровождать проект так, как вам тут хотелось бы - намного дороже выручки с его продаж. А что касается FOSS - попробуйте оценить стоимость этих наработок по коммерческим ставкам - удивитесь.
>> Штука в том, что среди чистой "коммерции" - количество разработчиков катастрофически стремится
>> к 0.
> Чушь.Мне велели—я ответил«Есть!»
> Штука в том, что сопровождать проект так, как вам тут хотелось
> бы - намного дороже выручки с его продаж.Я разве написал выше что-то другое? К черту поддержку - ведь всегда можно завернуть г*** в новый красивый фантик!
Вот только будущее - накажет. Не у всех мощей хватит позже переквалифицироваться в патентные тролли из таких "разработчиков"...
> А что касается FOSS - попробуйте оценить стоимость этих наработок по
> коммерческим ставкам - удивитесь.Чему, простите? Хорошую и нужную работу - хорошо оплачивают. Немалая доля
FOSS буквально и оплачена по этим самым коммерческим ставкам.
> А технически - ничего, конечно, не развалится. Есть такая вещь как
> обратная совместимость.мужик - ты точно уверен что у всех либ есть ABI versions в библиотектах ?
вот только что открыл libgio-2.0.so - нету.. поддерживается только последная версия - что значит при обновлении получишь полный облом..
> ты точно уверен что у всех либ есть ABI versions в библиотектах ?Всякие разные буратины есть, конечно. Но в мало-мальски значимых проектах их меньше.
> вот только что открыл libgio-2.0.so - нету..
Чего там нету? Замечательно все есть - открывалкой сперва научись пользоваться.
> поддерживается только последная версия
Это которая? 2.33.12, которая установлена у меня? ЧЯДНТ, почему у меня замечательно работают программы, расчитанные на более раннюю glib 2.x?
Я не нашёл практически ни одного нормального возражения - только параллельные измышлизмы.
Я объяснил, почему имеет смысл (иногда) затачиваться только под конкретную версию. По этому конкретно пункту возражения есть?
> Я не нашёл практически ни одного нормального возраженияА что возражать на вопль обиженного разумом? Вас ткнули носом в то, что без FOSS - в "коммерции" просто не останется софта, нечего будет в красивую бумашку заворачивать.
И факт остается фактом, помимо этого FOSS разработчики еще и исправляют проблемы, а "коммерция" - плюет на поддержку. С "программными продуктами", использующими открытые либы - данная ситуация лишь становится прозрачной.
>Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотекЧто называется уметь подать новость и перевернуть с ног на голову
так заказчиков-то закрытого коммерческого софта в первую очередь интересуют же новые фичечки, а не какая-то там секьюрити
тем более если речь идёт о продуктах для внутреннего использования, где шанс что кто-то начнет что-то хакать не так и велик
ну и смысл безопасность вылизывать, если исходя из потенциальных рисков это нецелесообразно
> так заказчиков-то закрытого коммерческого софта в первую очередь интересуют ...Прибыль.
Совершенно не факт.
Надо же, хоть один дельный комментарий. И даже не заминусованный. Я действительно на опеннет попал? :-)
> Я действительно на опеннет попал? :-)Да, мы исправляемся.
> Надо же, хоть один дельный комментарий. И даже не заминусованный.Да, просто удалённый на основании п. 4 http://wiki.opennet.ru/ForumHelp
> Я действительно на опеннет попал? :-)
Разумеется.
PS: если бы у автора того комментария хватило воспитания излагать без гонору, мог бы быть и дельным. Но некоторым и полутора копейками крышу сносит, пальцЫ в косяк упираются...
> PS: если бы у автора того комментария хватило воспитания излагать без гонору,
> мог бы быть и дельным. Но некоторым и полутора копейками
> крышу сносит, пальцЫ в косяк упираются...Вероятно. Но ведь это действительно очевидно: компании, работающие на коммерческой основе - основной целью имеют зарабатывание денег. А зарабатывание денег не в последнюю очередь связано с тем, чтобы их меньше тратить. Отсюда не менее очевидно, что если есть выбор между постоянным обновлением библиотек, требующим модификацию остального кода (читай: затраты), что не привносит какого-либо нового функционала (читай: отсутствие прибыли), и использованием старых, с которыми таких изменений не требуется - понятно в какую сторону будет сделан выбор.
Цель "заработать денег" - достигнута. Расходы - минимизированы. Ведь даже издревле "для себя" и "на продажу" многие люди делали вещи с довольно таки различным подходом, причем - по тем же самым причинам.
Почему так и правильно ли это - предмет отдельного разговора. Но тем не менее - это факт.
> Вероятно. Но ведь это действительно очевидно: компании, работающие на коммерческой
> основе - основной целью имеют зарабатывание денег. А зарабатывание денег не в
> последнюю очередь связано с тем, чтобы их меньше тратить.В первую очередь это сомнительное занятие связано с доходностью, а не с минимизацией расходов. Наивысшая доходность достигается исключительно нечестными методами. Некоторые из этого делают "очевидный" вывод о приоритете дохода над моралью.
> Цель "заработать денег" - достигнута. Расходы - минимизированы.
Расходы расходам тоже рознь: сегодня ты спустя рукава наляпал прошивку для микроконтроллера, завтра оставшиеся в живых после саморазгона машины (как вон недавно пример про тойоту приводили) засудили твоего работодателя, он влетел на отзыв, а тебе, по лучшим японским традициям, осталось наложить на себя руки. А "всего-то" минимизировали сиюминутные расходы.
> Ведь даже издревле "для себя" и "на продажу" многие люди делали вещи
> с довольно таки различным подходом, причем - по тем же самым причинам.С такими людьми стараюсь дела не иметь, а другим делать как для себя, если не лучше (сапожник без сапог бывает и потому, что на себя времени не остаётся).
> Наивысшая доходность достигается исключительно нечестными методами.А вы где-то видели крупные _честные_ высокодоходные компании? :-)
> Некоторые из этого делают "очевидный" вывод о приоритете дохода над моралью.
А вы, покупая (ну допустим, если бы вдруг) телефон на базе Android и отстегивая тем самым личные $5 компании Microsoft, которая к нему ну совершенно никакого отношения не имеет - в этом усомнились бы?
> А "всего-то" минимизировали сиюминутные расходы.
В первый раз что ли? Раз уж коснулись автомобилей, уместно вспомнить историю с Ford Pinto 70-х годов, у которых при авариях, связанных с ударом в заднюю часть автомобиля, нередко случались пожары, в которых погибали люди. Цитата с Википедии: "Ford allegedly was aware of the design flaw, refused to pay for a redesign, and decided it would be cheaper to pay off possible lawsuits. The magazine obtained a cost-benefit analysis that it said Ford had used to compare the cost of $11 repairs against the cost of settlements for deaths, injuries, and vehicle burnouts."
Отзыв машин, конечно, все-таки состоялся и проблему исправили - но разорился ли после этого Ford? Вроде как нет. И у меня есть большие сомнения, что эта ситуация у них изменила отношение.Подчеркну, что я НЕ считаю это правильным. Но это просто факт. Он может не нравиться, но фактом от этого быть не перестает.
> Подчеркну, что я НЕ считаю это правильным. Но это просто факт.
> Он может не нравиться, но фактом от этого быть не перестает.А я и не отрицаю факты -- именно что пытаюсь дать им оценку.
И практически учитывать её в своей деятельности.
>> Вероятно. Но ведь это действительно очевидно: компании, работающие на коммерческой
>> основе - основной целью имеют зарабатывание денег. А зарабатывание денег не в
>> последнюю очередь связано с тем, чтобы их меньше тратить.
> В первую очередь это сомнительное занятие связано с доходностью, а не с
> минимизацией расходов. Наивысшая доходность достигается исключительно нечестными методами.
> Некоторые из этого делают "очевидный" вывод о приоритете дохода над
> моралью.Да, в капиталистическом обществе - это так, де-факто.
Это только оболганные обыватели совка полагали, что "там" магически действует конкуренция, благодаря которой производители, делающие некачественное брахло - вылетают в трубу. Это миф, качество товара далеко не основной способ обеспечить его "продаваемость".
> С такими людьми стараюсь дела не иметь, а другим делать как для
> себя, если не лучше (сапожник без сапог бывает и потому, что
> на себя времени не остаётся)."Начать с себя" может разве тысячная доля популяции, а общество развивается в соответствии с объективными законами и ваши потуги ему как мертвому припарки. Вы сколько угодно могли бы в дореволюционной России "начинать с себя" (и такие тоже были, см. напр. толстовцы) и проч. - страна еще полвека оставалась бы полуфеодальной и люди дохли бы как мухи.
Так и тут - реальность состоит в том, что в капиталистическом обществе нет механизмов, стимулирующих именно качество товара (а не его "продаваемость").
> "Начать с себя" может разве тысячная доля популяции, а общество развивается в
> соответствии с объективными законами и ваши потуги ему как мертвому припарки.Даже мои потуги порой оказываются довольно болезненно ощутимыми на уровне транснациональных лавок, хотя цель их не в том. :)
Про "объективные законы" тоже смешно -- говорящие про них обычно оперируют теориями, если не гипотезами, но никак не законами.
>> "Начать с себя" может разве тысячная доля популяции, а общество развивается в
>> соответствии с объективными законами и ваши потуги ему как мертвому припарки.
> Даже мои потуги порой оказываются довольно болезненно ощутимыми на уровне транснациональных
> лавок, хотя цель их не в том. :)Сомневаюсь. Ситуацию достаточно хорошо характеризует пример данной новости. Открытые исходники вообще - не привносят в экономику к-л нового механизма, стимулирующего качество продукции. Снижают стоимость разработки и сопровождения - да. Но капиталист может вложиться как в повышение качества продукции, так и в красивые фантики, рекламу, юристов и проч. Как и раньше. Появились новые механизмы, заставляющие буржуев предпочитать певое? Нет.
> Про "объективные законы" тоже смешно -- говорящие про них обычно оперируют теориями,
> если не гипотезами, но никак не законами.Что вы имеете в виду против "Закона Всемирного Тяготения" ув. сэра Ньютона? Теорий же (живых, не фальсифицированных), которыми вокруг него оперируют - несколько десятков, наверное.
В социологии и экономике - точно так же, так что я выразился корректно. Только труба пониже и дым пожиже. Мораль, этические нормы - скорее производное, чем нечто, существенно определяющее развитие общества.
> Сомневаюсь.Тем не менее российские школы -- единственные в мире, которым терминальный сервер MS предлагало по демпинговым ценам (что-то порядка $7 за CAL, помнится).
> Открытые исходники вообще - не привносят в экономику к-л нового механизма,
> стимулирующего качество продукции.Качество происходит от намерения. А равнодушие на костылях всё равно вылазит боком -- когда осыпется штукатурка норм и сертификаций.
>> Про "объективные законы" тоже смешно -- говорящие про них обычно оперируют теориями,
>> если не гипотезами, но никак не законами.
> Что вы имеете в виду против "Закона Всемирного Тяготения" ув. сэра Ньютона?Так в виду или против? :) Надеюсь, не пытаетесь ставить на одну доску физику и социологию в качестве точных наук.
> Мораль, этические нормы - скорее производное
У овощей может и вовсе отсутствовать.
Впрочем, чего Вы наелись -- видно достаточно хорошо, яды знакомые. Искренне желаю крепких столкновений с реальностью, чтоб прочистило. Мне такое привалило в девяностых.
>> Сомневаюсь.
> Тем не менее российские школы -- единственные в мире, которым терминальный сервер
> MS предлагало по демпинговым ценам (что-то порядка $7 за CAL, помнится).Мне пока связи не видно. Корре
>> Открытые исходники вообще - не привносят в экономику к-л нового механизма,
>> стимулирующего качество продукции.
> Качество происходит от намерения. А равнодушие на костылях всё равно вылазит
> боком -- когда осыпется штукатурка норм и сертификаций.Наймем побольше пеарщиков и юристов. Не сработает? Увы - очень даже. Примеры можно приводить долго и нудно, их в треде уже было.
Нет, серьезно, мне интересно узнать что в реальности действительно существует убедительный механизм стимуляции качества продукции в современном капиталистическом обществе. Что другие (неблаародныя) стратегии - не работают в долгосрочной перспективе. Увы, на вас надежды мало...
>>> Про "объективные законы" тоже смешно -- говорящие про них обычно оперируют теориями,
>>> если не гипотезами, но никак не законами.
>> Что вы имеете в виду против "Закона Всемирного Тяготения" ув. сэра Ньютона?
> Так в виду или против? :) Надеюсь, не пытаетесь ставить на
> одну доску физику и социологию в качестве точных наук.Таки почему вы против? "Закон" - вполне оправданный эпитет в примере того же ЗВТ. Существуют закономерности, которые куда шире чем оперирующие ими теории.
В любых науках, в т.ч. и в науках об обществе. Вообще, глупо так свысока глядеть на социологию - в умелых руках это инструмент куда почище знаний об устройстве ядерной бомбы.
ага, перефразируем:
Основные проблемы в коммерческих проектах вызваны использованием устаревших библиотек. А библиотеки там отрытые или нет дело второстепенное.
Можно еще обобщить: основные проблемы в коммерческих проектах вызваны экономией на поддержке. А библиотеки там устарели или технологии - дело второстепенное.Проблема в том, что новые фишки продаются хорошо, а возврат технических долгов - нет. Поэтому долги копят, "пока не рванет". И даже после этого обычно не реанимируют продукт, а пишут новую версию ("обновитесь со скидкой!!!") и отказываются от поддержки старых.
Маркетология...
> В итоге сделан вывод, что наиболее распространённой причиной проблем с открытым кодом в коммерческих программных проектах является поставка в составе таких проектов устаревших версий открытых библиотек.В закрытых проектах код свежий ровно настолько, насколько хватает оплаченных ЧЧ. Если их нет даже на тестирование новых версий уже готовых библиотек, то тем более не будет для поддержания своего оригинального крапа в нормальном состоянии. В общем, вывод писали какие-то удаки.
ICU (International Components for Unicode) Адская юникод библиотека как исходники WindowsИнтересно сколько она жрет памяти
> Интересно сколько она жрет памятиОчевидно же - 2^16 или даже 2^32.