> 1. "инструментарий для ... автоматического анализа ... кода на предмет наличия ИЗВЕСТНЫХ
> уязвимостей" (выделено мной) И что? У MS бывали дыры в общедоступных либах типа злибы, и ничего, не смущались.
> Fedora было выявлено пять пакетов, в которых проявляется уязвимость ... исправленная
> ещё в начале апреля"
А у MS вообще анимированные курсоры позволяли в ядро проломиться. И дыр в GDI+ было оптом в всех парсерах форматов - от жпега до WMF. Чем это лучше?
> Это ещё одна затычка для детских болезней open-source'а
Про детские болезни вякать после MS11-083 довольно нагловато, имхо. Это у вас в TCP/IP стеке детские болезни, если оно позволяет ремотным пакетом кернел мод поиметь.
> причиной которых является огрехи в архитектуре ОС и методике разработки.
А MS11-083 почему-то у MS случился. По логике получается что там не огрехи а сплошной мегафэйл, да? Потому что в *BSD/Linux такого лютого пи...ца с дырявостью сетевого стека не наблюдается.
> Так libpng просто напрашивается стать частью ОС, но вместо этого дублируется
> (!!) в десятках проектов.
Так кто виноват что бакланы из микрософта не предоставляют возможность попросить "дайте нам libpng"? В линухе так и делают обычно, указывая libpng в зависимостях вместо копипи...нга кода из нее. Но есть же винды, где это не вариант. А переть с собой всю библу - так прога сильно распухает и тяжелеет. Вот и выкручиваются как умеют.
> А вот это уже ППЦ.
Не, ППЦ - это когда ремотный пакет влетает в кернел и выполняется. Как в MS11-083. Вот это лютенько, ничего не скажешь.