The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Результаты исследования безопасности и качества открытого кода "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Результаты исследования безопасности и качества открытого кода "  +/
Сообщение от opennews on 02-Ноя-10, 21:18 
Компания Coverity, разработчик инструмента для автоматического исследования безопасности и качества программного обеспечения на основе сканирования и анализа исходного кода, опубликовала (http://blog.coverity.com/open-source/launch-of-the-coverity-.../) первые результаты за 2010 год в документе под названием "Отчёт о корректности Open Souce ПО". Последнее подобное исследование состоялось (http://www.opennet.me/opennews/art.shtml?num=15991) в 2008 году. Стоит напомнить, что программа Coverity Scan (http://scan.coverity.com) была начата в 2006 году как инициатива Министерства национальной безопасности США по обеспечению и усилению безопасности информационной инфраструктуры Соединенных Штатов, работающей на основе Open Source ПО.


В рамках исследования в этом году был проанализирован 61 миллион строк исходного кода 291 самых популярных и важных Open Source проектов, включая такие известные продукты как Android, Samba, Linux и Apache. Результаты этого ...

URL: http://blog.coverity.com/open-source/launch-of-the-coverity-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=28504

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Результаты исследования безопасности и качества открытого ко..."  –3 +/
Сообщение от emg81 on 02-Ноя-10, 21:18 
ну по заголовку и тексту уже ясно, что исследование проплачено заинтересованными лицами :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Результаты исследования безопасности и качества открытого ко..."  +4 +/
Сообщение от Иван Иванович Иванов on 02-Ноя-10, 21:20 
Coverity - коммерческая компания, не забывайте.

И 300 млн строк кода проанализироваться - это не балду гонять.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Результаты исследования безопасности и качества открытого ко..."  –1 +/
Сообщение от Аноним (??) on 02-Ноя-10, 21:36 
мы так же не забываем что FSF позволило им взять gcc и на его базе написать _закрытый_ анализатор кода.
Который они успешно продают - за очень не вменяемые деньги.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 02-Ноя-10, 21:38 
> мы так же не забываем что FSF позволило им взять gcc и
> на его базе написать _закрытый_ анализатор кода.
> Который они успешно продают - за очень не вменяемые деньги.

да и условием этой сделки было как раз таки то что они бесплатно будут иногда анализировать качество кода открытых проектов и присылать им отчеты. В которых местами много левых срабатываний.

а теперь пусть местные защитники FSF раскажут - как-это можно на базе открытого кода создать закрытый?
И почему FSF разрешило это.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от evgeny_t (ok) on 02-Ноя-10, 22:19 
>И почему FSF разрешило это.

потому что у них весомый аргумент "люди в масках" и нац. безопастность )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 02-Ноя-10, 22:40 
эти люди всем известны,ведь это именно те, кто кричит, что "опенсоурс - это не только бзд", что "в гцц и гпл надо довавить исключения" и т.д.
собственно это именно те, кто сейчас кричит "как же опенсоурс позволила".
собственно - это вы.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Результаты исследования безопасности и качества открытого ко..."  +1 +/
Сообщение от ананим on 02-Ноя-10, 22:43 
зы:
но даже и не это главное - главное, что закрытый код вообще не анализируется.
а если аналищзируется, то остается в застенках подобных организаций.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 02:20 
> зы:
> но даже и не это главное - главное, что закрытый код вообще
> не анализируется.
> а если аналищзируется, то остается в застенках подобных организаций.

Анализируется он, анализируется.
Только по своему.
И результаты не оглашаются)
А цель анализа - вовсе не "найти и исправить все ошибки".
Скорее это "понять, почему вон та фигня не работает, а вон та - тормозит. И исправить до пятницы."
Ведь если глюк не замечают, зачем тратить время и деньги на его исправление?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 03-Ноя-10, 03:01 
внутренний анализ не особо интересен по ряду причин - сроки, средства, бэкдоры, халатность, совместимые только сами с собой стандарты, дрм'ы, усложнение кода и логики чтобы никто не догадался,..
так что об этой стороне тестирования речи нет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 03:53 
> внутренний анализ не особо интересен по ряду причин

Он как раз бывает интереснее "публичного" анализа - никто не стесняется в выражениях и цифрах.
Можно узнать много нового.
Помнится, утекли в сеть письма Гейтса - там он прямым текстом писал "Другие программы могут открывать формат DOC! Безобразие! Нужно срочно что-нибудь в нем поменять, чтобы он перестал у них открываться!".

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 03-Ноя-10, 13:29 
извините, но это "слухи, скандалы, расследования", а не анализ.
даже по вашему приеру можно сказать только одно - мс анализирует опенсорсные проекты, не более. а про дыры, бэкдоры и тд вообще нет речи.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от XoRe (ok) on 03-Ноя-10, 15:24 
> извините, но это "слухи, скандалы, расследования", а не анализ.
> даже по вашему приеру можно сказать только одно - мс анализирует опенсорсные
> проекты, не более. а про дыры, бэкдоры и тд вообще нет
> речи.

Это не анализ.
Это "не стесняется в выражениях")

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 03-Ноя-10, 11:21 
>Ведь если глюк не замечают, зачем тратить время и деньги на его исправление?

коментариев подобных этому - не один десяток в багзиле RedHat.
так что далеко не только закрытые проекты страдают этим.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 03-Ноя-10, 13:41 
как правило это говорит только об одном - бардак в багтреккере.
и как правили во всех них есть ссыслка на багдупликат. и если задаться целью, то коментарий с иправлением находится в 95.
в любом случае - это действительно проблема, т.к. дублирующиеся баги забодятся пачками и в каждом дистре отдельно. и как это исправить, не понятно.
но и говорить, что баги не правятся - не верно, т.к. в подавляющем большинстве случае лично я нахожу решение, хоть и трачу на поиск не мало времени. и только если уверен, что все проискал, завожу новый баг. но это очень редко. (про нестабильные программы речи нет, там я специально ставлю самое последнее, забожу баги, иногда патчи)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "Результаты исследования безопасности и качества открытого ко..."  +1 +/
Сообщение от ааф on 03-Ноя-10, 23:22 
Возможно вы не отслеживали историю коверити, но начинали они не совсем "на базе gcc". Они к gcc дописали свой дампер дерева (либо дополнили имеющийся), и даже открыли этот патч. И уже над набором таких дампов у них запускался их закрытый анализатор.

Для такой системы не нужно разрешение FSF, тк GPL не нарушается.

Правда их сайт с патчем был недолго доступен.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

58. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 04-Ноя-10, 21:43 
> ну по заголовку и тексту уже ясно, что исследование проплачено заинтересованными лицами :)

Вы так говорите будто в этом есть что-то плохое.
Я работаю. Моя работа проплачена заинтересованными лицами.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Результаты исследования безопасности и качества открытого ко..."  +4 +/
Сообщение от Аноним (??) on 02-Ноя-10, 21:54 
Если они действительно направили подробные отчеты разработчикам протестированного ПО, то остается только радоваться, баги устранят. С проприетарным ПО такой анализ не прокатит и их баги останутся при них.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Результаты исследования безопасности и качества открытого ко..."  +1 +/
Сообщение от Аноним (??) on 02-Ноя-10, 22:19 
Ну если гора не идет к Магомеду, то ...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 02-Ноя-10, 22:04 
Они хоть ошибки эти конкретно назовут? Багрепорты пошлют? Хотелось бы.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Alexey (??) on 02-Ноя-10, 22:49 
После каждого тестирования результаты выкладываются. Каждый проект их может получить и зафиксить. Но не сказать, что все пользуются такой возможностью.
http://scan.coverity.com/rung2.html
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 03-Ноя-10, 10:21 
Ruby - броня! Ни одной ошибки!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Результаты исследования безопасности и качества открытого ко..."  –5 +/
Сообщение от kost BebiX email on 02-Ноя-10, 22:22 
Какой же бред. Разработчики ищут ошибки в безопасности, даже деньги готовы некоторые платить, а они написали скриптик, который автоматически ошибки находит. Тоесть одну программу, которая лучше чем специализированные тесты каждой программы.

В общем, не покажут конкретику -- ничем не лучше SCO и их обвинений всяких.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Результаты исследования безопасности и качества открытого ко..."  –1 +/
Сообщение от ананим on 02-Ноя-10, 22:47 
а они аписали, что это худший вариант?

данная работа интересна только в статистическом плание - что, сколько, какие тенденции.
и в данном плане опенсорс не плох - масса кода выросла, тенденции ухудшения кода - нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

60. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 04-Ноя-10, 21:50 
> данная работа интересна только в статистическом плание

В последнюю очередь в статистическом плане. В первую очередь они дают открытым проектам их ошибки бесплатно для проектов.

http://scan.coverity.com/rung2.html

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Результаты исследования безопасности и качества открытого ко..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 02-Ноя-10, 23:27 
> а они написали скриптик

Дружище, а накидайте мне такой скриптик, печеньку дам.

Coverity -- это в т.ч. народец, который годами выуживал дырки и постил их в bugtraq@ и full-disclosure@ в том числе.  А сейчас предпочитает зарабатывать анализом, а не продажей дырок.  Мне очень сложно обвинить их в злонамерении, по крайней мере что касается таких вот проходов по коду.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 03-Ноя-10, 11:23 
>> а они написали скриптик
> Дружище, а накидайте мне такой скриптик, печеньку дам.
> Coverity -- это в т.ч. народец, который годами выуживал дырки и постил
> их в bugtraq@ и full-disclosure@ в том числе.  А сейчас
> предпочитает зарабатывать анализом, а не продажей дырок.  Мне очень сложно
> обвинить их в злонамерении, по крайней мере что касается таких вот
> проходов по коду.

большая часть их анализа построена на потрохах gcc - который научили выдавать +/- коректную ругань.
Видел я их результаты и даже анализировал - процентов 30% - false positive. аля как gcc вдруг из-за левой оптимизации начинает кричать о неинициализрованной переменной.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от pavlinux (ok) on 03-Ноя-10, 14:42 
> ... и даже анализировал - процентов 30% - false positive. аля....

О великий и могучий Аноним!!!
Я у них с 2006 года пытаюсь выпросить триальную версию, для анализа 45000 строк.
О Наиумнейший!!! Поделись, сколько мегабаксов отдал?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 04-Ноя-10, 21:50 
> Видел я их результаты и даже анализировал - процентов 30% - false
> positive.

Ты так говоришь будто в 70% правильных результатов есть что-то плохое. Люди делают полезное для OSS дело, и попутно зарабатывают на жизнь с маслом. Молодцы.

Они много сделали, впрочем никому не мешают сделать больше и лучше. GCC тебе в руки ананимный критег.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Результаты исследования безопасности и качества открытого ко..."  –2 +/
Сообщение от kb on 03-Ноя-10, 11:37 
>> а они написали скриптик
> Дружище, а накидайте мне такой скриптик, печеньку дам.
> Coverity -- это в т.ч. народец, который годами выуживал дырки и постил
> их в bugtraq@ и full-disclosure@ в том числе.  А сейчас
> предпочитает зарабатывать анализом, а не продажей дырок.  Мне очень сложно
> обвинить их в злонамерении, по крайней мере что касается таких вот
> проходов по коду.

ок. На питоне, ничего?

#!/usr/bin/python
# -*- coding: utf-8 -*-
print u'У вас 12 потенциальных уязвимостей'

Чем хуже их скрипта? Или они нашли хоть одну действительно стоящую уязвимость, о которой не знали?)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от pavlinux (ok) on 03-Ноя-10, 14:38 
Не путаем ошибки и дыры!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от kb on 03-Ноя-10, 14:47 
> Не путаем ошибки и дыры!

В новости написано про уязвимости, вроде.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от pavlinux (ok) on 03-Ноя-10, 14:54 
Уязвимость это одна из следствий ошибки. То есть, не всяка бага есть уязвимость.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 04-Ноя-10, 21:58 
> Чем хуже их скрипта?

Новость читал? Там ссылки есть, нажимать на них пробовал ? А, о ужас, читать что написано по ссылкам ? Или это тебе не по силам, великий написатель однострочечного скрипта ? Детский сад.

> Или они нашли хоть одну действительно стоящую уязвимость, о которой не знали?)

Сотни.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

67. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от kb on 05-Ноя-10, 12:04 
> Новость читал? Там ссылки есть, нажимать на них пробовал ? А, о
> ужас, читать что написано по ссылкам ? Или это тебе не
> по силам, великий написатель однострочечного скрипта ? Детский сад.

Читал. Ходил. Что я там должен был увидеть? Ни одной ссылки на их багрепорты конкретные не нашел, увы. Может я плохо смотрел.

Дай мне ссылку, о великий интернет-пользователь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

68. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 05-Ноя-10, 18:19 
они предлагают багрепорты не всем подряд для злоупотреблений, а предлагают тем кто развивает проект получить баги своего проекта, вот тут: http://scan.coverity.com/all-projects.html (Sign in)

Уже зафикшиные баги можно найти гуглом в самих проектах например для X.ORG:
http://fr2.rpmfind.net/linux/RPM/opensuse/11.2/i586/xorg-x11...
- xfsinfo 1.0.2
    * Plug memory leaks (Coverity ids 570 & 571)
- xcursorgen 1.0.2
    * Coverity #621: RESOURCE_LEAK: Returned without freeing storage
      "curr"
    * Coverity #624: RESOURCE_LEAK: Returned without freeing storage
      "fp"
- xprop 1.0.3
    * Coverity #905: Handle_Prop_Requests returned without freeing
      storage "thunks"
  - iceauth 1.0.2
    * Coverity #1039: Using uninitialized value "authdata"
    * Coverity #1089: Double frees in error cleanup path

http://lists.freedesktop.org/archives/xorg-announce/2006-Jun...
The highlights are fixing 44 Coverity bugs
Coverity #804: Another leak on OOM path.
Coverity #806: Another memory leak on OOM path.
Coverity #847, #848, #849: Three more memory leaks.
Coverity #1003, #1004: Two more useless null checks.
Coverity #1005: Avoid a null deref.
Coverity #1007: Fix a silly null check.
Coverity #323, #445, #446, #447: Fix potential NULL dereferences.
Coverity #169: Fix potential fgets() into NULL (?!?).
Coverity #324: Fix potential NULL dereference.  (Alan Coopersmith)
Coverity #340: Fix potential NULL dereference.
Coverity #1216: Fix double-close of file on error.
Coverity #987: Avoid potential NULL dereference.
Coverity #844, #845, #846: Fix memory leaks.
Coverity #826: Fix potential memory leak.
Coverity #333, #334 - eliminate unncessary test for always true condition in fbEvenStipple.
Coverity #488: Avoid smashing an array on malformed config files.
Coverity #769: Fix a potential memory leak for systems that
allocate on malloc(0)
Coverity #838: Plug two more memory leaks.
Coverity #837: Fix another another memory leak.
Coverity #836: Fix another memory leak.
Coverity #835: Plug memory leak in extension section parsing.
Coverity #812: Fix parser memory leak.
Coverity #818: Avoid memory leak on error path.
Coverity #985: Avoid segfault on malloc failure.
Coverity #1037: Sanity check idx before use.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

69. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от kb on 05-Ноя-10, 18:38 
> они предлагают багрепорты не всем подряд

Ну наконец-то.

What types of issues does the tool find?

Some examples of the defects include:

    leaked resources
    references to pointers that could be NULL
    references to pointers that are guaranteed to be NULL
    use of uninitialized data
    array overruns
    unsafe use of signed values
    use of resources that have been freed

Короче то, что должно быть отловлено компилятором и тестами. Они написали хитрую фигню, которая чуть лучше это делает. Что ж, да, полезная вещь (которой не должно быть, ибо это должен делать компилятор, но у ребят такой бизнес).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Результаты исследования безопасности и качества открытого ко..."  +3 +/
Сообщение от Иван Иванович Иванов on 02-Ноя-10, 22:38 
"Талантов" мышления в обсуждении просто невообразимое количество.

По результатам прошлого исследования, если я точно помню, разработчиками OpenSource было подтверждено не менее 80% ошибок, большую часть которых исправили. Т.е. лишь 20% ошибок оказались ложными срабатываниями.

И напишите-ка "скриптик", который будет находить подобные ошибки. Хочу посмотреть хватит ли мозгов хотя бы находить ошибки уровня "утечек памяти" (Coverity ищет гораздо шире).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Результаты исследования безопасности и качества открытого ко..."  –1 +/
Сообщение от ананим on 02-Ноя-10, 22:51 
валгринд в помощь. если желание будет.

только другое интересно - как прокоментируете меячные с критическими уязвимостями в флэшах, жабах, дотнетах.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Иван Иванович Иванов on 03-Ноя-10, 00:43 
Трудно с идиотами спорить - попробуйте valgrind натравить на исходники _не_ запуская программы - это именно то, что делает Coverity. Попробуйте в автоматическом режиме его запустить.

Комментировать нечего, Coverity - это не AI и он не может находить все ошибки.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Результаты исследования безопасности и качества открытого ко..."  –1 +/
Сообщение от ананим on 03-Ноя-10, 00:56 
>Трудно с идиотами спорить

забавный аргумент. :D
что ж, видимо другого нет.
зы:
никто панацею и не обещал. и вопрос - как прокомментируете критические дни каждый месяц с критическими уязвимостями в закрытом софте (в флэшах, жабах, дотнетах,...), который вообще независимыми конторами не тестируется - остаётся без ответа.
ззы:
надеюсь господин умник понимает, что тестирование с наличием исходников на десятки порядков проще и эффективнее.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

62. "Результаты исследования безопасности и качества открытого ко..."  –1 +/
Сообщение от szh (ok) on 04-Ноя-10, 22:03 
> забавный аргумент. :D
> что ж, видимо другого нет.

Другой аргумент у товарища написан, но вы его предпочли не заметить. Вернитесь и перечитайте (пропустить надо про идиотов, а прочитать остальное, а не наоборот)

> как прокомментируете критические дни каждый месяц с критическими уязвимостями в закрытом софте

это оффтопик дорогой. Или по фиг что у меня плохо, лишь бы у соседа было хуже ?

Почему позититвную деятельность Coverity воспринимаете как наезд ? Потому что не поняли что они раскравают бесплатно для FOSS найденные баги ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

70. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 06-Ноя-10, 01:32 
читать, дорогой ты наш, научись.
нигде отрицательно их деятельность я не оценивал.
но из тех 80% думаю такой же результат получили бы и сами разработчики используя валгринд и прочие известные утили. а то может и просто обращая внимание на варнинги, которые выдет компилятор. попробуйте к приеру генту и убедитесь сколько там эти варнигов, начиная с самого гцц.

короче, пока не придет добрый дядя и не скажет - вот этот варнинг ведет к такой то дыре, никто и не чешиться.
а с клозет сорсом даже добрый дядя не приходит. и тот булыжник в их городе не мной закинут.

теперь понятна сентенция на широко известное произведение Достоевского, господин защитник униженных и оскорбленных?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

73. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 06-Ноя-10, 17:58 
> получили бы

Не смогли получить по не важно каким причинам.
Никто кроме coverity за них это тоже не сделал не важно каким причинам.
coverity сделали не важно каким причинам.

Предпочитаю оперировать фактами для оценки заслуг, а не "если бы"


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

76. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 07-Ноя-10, 17:19 
гениально!
"если бы" - это то, что не делает разработчик в силу своих обязанностей.
"факты" - это то, что кто-то обнаружил, что в коде то оказывается баги таки есть.
при этом всё остается на своих местах.
гениально.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Александр (??) on 02-Ноя-10, 23:43 
"Качество Open Source улучшится" - чушь, после отсылки багрепорта от силы улучшится качество куска кода, где были найдены проблемы.

Другой вопрос, как это аналитики нашли (читали - и нашли?) ошибки, которые не видели (ага, читали, но не нашли) сами разработчики, которые и логику приложений, и свой код знают куда как лучше? А если анализ был автоматическим, то можно ли ему верить. Помнится, OpenSSL как-то доанализировали-доулучшали автоматом :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 03-Ноя-10, 00:03 
Чтобы найти ошибки, дыры в безопасности, утечки - не нужно знать код. Для этих целей достаточно написать приложение (да, оно очень сложное, в большинстве случаев оно должно обыгрывать разные варианты хода программы, анализ велся не на конкретных числах а на множестве определения переменных и операциях над множествами и проч.), но для поиска ошибок не нужен человек. Знать и понимать все строчки в своей программе недостаточно - иногда полезней попросить другого человека или программу это сделать - причем бездушная программа лучше, т.к. она не имеет представлений о том как эта программу будут использовать, что пользователь скорее всего будет запускать ее с определенными намерениями, и т.д. Она просто молотит входные данные, и как бы себя разработчик не обманывал - дает ему результат. Причем уверен, что и программа всех ошибок не найдет
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 03-Ноя-10, 00:59 
>Чтобы найти ошибки, дыры в безопасности, утечки - не нужно знать код.

знать - не обязательно. иметь исходники - очень желательно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 03-Ноя-10, 10:36 
>>Чтобы найти ошибки, дыры в безопасности, утечки - не нужно знать код.
> знать - не обязательно. иметь исходники - очень желательно.

Ну ведь речь идет об Open Source, поэтому это само собой разумеется

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от letsmac (ok) on 03-Ноя-10, 11:20 
Если в коде не  вырезаны дебаг символы, то где память вытекает и зависшие дескрипторы и так ясно.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 03-Ноя-10, 13:51 
текущая память и не освобожденные ресурсы - это далеко не все баги на планете.
к тому же понять в сложных случаях - не тривиальная задача. а в легких - и без дебагера видно что память течет, ресурсы жруться.
к примеру макос утекает уже релиза 4-5 и никто не шевелится.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от letsmac (ok) on 03-Ноя-10, 14:46 
> к примеру макос утекает уже релиза 4-5 и никто не шевелится.

Не замечал там никаких сильных утечек. В гибернейте мак уже месяца 4, не выключаю. Ну Virtualbox вылетает - но это он от души делает.  

В ПО на базе базарных патчей утечки отследить вообще крайне проблематично без сборщика. Один патч привносит, второй накатом удаляет, третий лечит и первый и второй, четвертый исправляет в первом утеку, третий начинает обращаться в астрал и тд и тп. Отслеживать такие утечки жуткий гемморой.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 04-Ноя-10, 05:39 
а я вот замечал.
перегружать макбукпро приходится 2 раза в неделю.
да и гугл соврать не даст - ссылок на это довольно много.

а про базарные патчи - не течет сцуко, как вы не пыжтесь.
к тому же я и сам разработчик и лапшу кому другому вешайте, а не мне. закрытые разработки не лучше, а в силу шкурности и жадности - хуже.
на индокод я насмотрелся, спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от letsmac (ok) on 04-Ноя-10, 13:38 
> а про базарные патчи - не течет сцуко, как вы не пыжтесь.

Чиго? VLC и  XBMC пожирают метр в минуту. Жрут как лошади. И тд и тп. И как ты не троллишь на маке все нормально. Ссылки в гугл - значит что ты и где там наслышался весьма интересно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 04-Ноя-10, 15:28 
да иди ты в опу. угу, наслышался, как же.
по остальным
1. vlc не течет ни в макос, ни в линухе. ни собранный самостоятельно, ни бинарник.
при чем на маке он гораздо симпатичнее (и открывается быстрее, и панелька в фулскрине полупрозрачная)
2. xbmc не пользуюсь.

а макос течет. с 10.6.2 до 10.6.4 точно. остальные не помню. невыгружаемая память больше 2 гб за 4 дня может стать - ппц.
помогает только перезагрузка.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от letsmac (ok) on 04-Ноя-10, 15:52 
> да иди ты в опу. угу, наслышался, как же.
> по остальным
> 1. vlc не течет ни в макос, ни в линухе. ни собранный
> самостоятельно, ни бинарник.

Да лан 2 часа работы  и вылет и-за выхода за 4 гб предел. Смотрю iptv и HD спутниковое.

> а макос течет. с 10.6.2 до 10.6.4 точно. остальные не помню. невыгружаемая
> память больше 2 гб за 4 дня может стать - ппц.

90 дней аптайма - сборщик отлично зачищает память. Интересно какое именно место течет.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

71. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от ананим on 06-Ноя-10, 01:41 
невыгружаемая память.
соответсвенно все остальные - в своп.
максимум - неделя и надо перегружать. ни закрытие прог. ни выход из сессии не помогают.
в инете то на фф грешат, то на хром, то на адоб.
какой в опу адоб, если все проги закрыты, а ресурсы не вернулись?
даже если есть утечки у всех этих прог, ось должна возвращать ресуры при их уничтожении.

зы:
про влс мне только не гони, т.к. в маке только им и пользуюсь. и давно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Dvorkin email(ok) on 03-Ноя-10, 12:21 
а почему FreeBSD звездочками? народу интересно знать своих героев :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Aleksey (??) on 03-Ноя-10, 15:58 
Снизу есть надпись
"** FreeBSD's use of Coverity's tools pre-dates the Scan website, and continues, separate from Scan."
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от Аноним (??) on 03-Ноя-10, 18:56 
ДЖве ключеые фразы данного исследования:
_____________________________________________
1. "Компания Coverity, разработчик инструмента для автоматического исследования безопасности и качества программного обеспечения на основе сканирования и анализа исходного кода".

2. "Обычно подобные ошибки пользователи Coverity исправляют до выхода продукта на рынок."
_____________________________________________
То есть покупайте продукт этой фирмы, и будет вам счастье. И им тоже.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

63. "Результаты исследования безопасности и качества открытого ко..."  +/
Сообщение от szh (ok) on 04-Ноя-10, 22:08 
> ДЖве ключеые фразы данного исследования:

Нет. Ключевое - что они принесли пользу для Free Open Source Software, а то что они при этом зарабатывают и могут полностью себя посвятить разработке алгоритмов, а не подработке на стороне, так это вдвойне молодцы.

У вас ужасно искаженный фильтр восприятия реальности. Вы увидели вторичное. Пускай пиарятся, пиар хорошей вещи - это хорошо!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

64. "Фантазер :)"  +/
Сообщение от Аноним (??) on 05-Ноя-10, 00:45 
>У вас ужасно искаженный фильтр восприятия реальности. Вы увидели вторичное.

Пускай пиарятся, пиар хорошей вещи - это хорошо!
---
По 1й части: это у вас фильтр фантазии и отрыва от реальности. Вы воображаете желаемое, не видя первичного.
По 2й части: Она опровергает ваше заключение из 1й части. Согласен - пускай пиарятся, они же делают деньги и хотят их больше. Их право.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

74. "Re Фантазер :)"  +/
Сообщение от аноним (ok) on 06-Ноя-10, 19:17 
Согласен. Удивительно, что существуют такие оторванные от реальной жизни люди.
Возможно, szh не просто витает в облаках, а занимается "облачными вычислениями"?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру