1.1, emg81 (?), 21:18, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
ну по заголовку и тексту уже ясно, что исследование проплачено заинтересованными лицами :)
| |
|
|
3.4, Аноним (-), 21:36, 02/11/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
мы так же не забываем что FSF позволило им взять gcc и на его базе написать _закрытый_ анализатор кода.
Который они успешно продают - за очень не вменяемые деньги.
| |
|
4.5, Аноним (-), 21:38, 02/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> мы так же не забываем что FSF позволило им взять gcc и
> на его базе написать _закрытый_ анализатор кода.
> Который они успешно продают - за очень не вменяемые деньги.
да и условием этой сделки было как раз таки то что они бесплатно будут иногда анализировать качество кода открытых проектов и присылать им отчеты. В которых местами много левых срабатываний.
а теперь пусть местные защитники FSF раскажут - как-это можно на базе открытого кода создать закрытый?
И почему FSF разрешило это.
| |
|
5.11, evgeny_t (ok), 22:19, 02/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
>И почему FSF разрешило это.
потому что у них весомый аргумент "люди в масках" и нац. безопастность )
| |
|
6.14, ананим (?), 22:40, 02/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
эти люди всем известны,ведь это именно те, кто кричит, что "опенсоурс - это не только бзд", что "в гцц и гпл надо довавить исключения" и т.д.
собственно это именно те, кто сейчас кричит "как же опенсоурс позволила".
собственно - это вы.
| |
|
7.15, ананим (?), 22:43, 02/11/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
зы:
но даже и не это главное - главное, что закрытый код вообще не анализируется.
а если аналищзируется, то остается в застенках подобных организаций.
| |
|
8.27, XoRe (ok), 02:20, 03/11/2010 [^] [^^] [^^^] [ответить] | +/– | Анализируется он, анализируется Только по своему И результаты не оглашаются А... текст свёрнут, показать | |
|
9.30, ананим (?), 03:01, 03/11/2010 [^] [^^] [^^^] [ответить] | +/– | внутренний анализ не особо интересен по ряду причин - сроки, средства, бэкдоры, ... текст свёрнут, показать | |
|
10.31, XoRe (ok), 03:53, 03/11/2010 [^] [^^] [^^^] [ответить] | +/– | Он как раз бывает интереснее публичного анализа - никто не стесняется в выраже... текст свёрнут, показать | |
|
9.35, Аноним (-), 11:21, 03/11/2010 [^] [^^] [^^^] [ответить] | +/– | коментариев подобных этому - не один десяток в багзиле RedHat так что далеко не... текст свёрнут, показать | |
|
|
|
|
|
4.53, ааф (?), 23:22, 03/11/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Возможно вы не отслеживали историю коверити, но начинали они не совсем "на базе gcc". Они к gcc дописали свой дампер дерева (либо дополнили имеющийся), и даже открыли этот патч. И уже над набором таких дампов у них запускался их закрытый анализатор.
Для такой системы не нужно разрешение FSF, тк GPL не нарушается.
Правда их сайт с патчем был недолго доступен.
| |
|
|
2.58, szh (ok), 21:43, 04/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> ну по заголовку и тексту уже ясно, что исследование проплачено заинтересованными лицами :)
Вы так говорите будто в этом есть что-то плохое.
Я работаю. Моя работа проплачена заинтересованными лицами.
| |
|
1.8, Аноним (-), 21:54, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Если они действительно направили подробные отчеты разработчикам протестированного ПО, то остается только радоваться, баги устранят. С проприетарным ПО такой анализ не прокатит и их баги останутся при них.
| |
1.9, Аноним (-), 22:04, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Они хоть ошибки эти конкретно назовут? Багрепорты пошлют? Хотелось бы.
| |
1.12, kost BebiX (?), 22:22, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Какой же бред. Разработчики ищут ошибки в безопасности, даже деньги готовы некоторые платить, а они написали скриптик, который автоматически ошибки находит. Тоесть одну программу, которая лучше чем специализированные тесты каждой программы.
В общем, не покажут конкретику -- ничем не лучше SCO и их обвинений всяких.
| |
|
2.16, ананим (?), 22:47, 02/11/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
а они аписали, что это худший вариант?
данная работа интересна только в статистическом плание - что, сколько, какие тенденции.
и в данном плане опенсорс не плох - масса кода выросла, тенденции ухудшения кода - нет.
| |
2.19, Michael Shigorin (ok), 23:27, 02/11/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
> а они написали скриптик
Дружище, а накидайте мне такой скриптик, печеньку дам.
Coverity -- это в т.ч. народец, который годами выуживал дырки и постил их в bugtraq@ и full-disclosure@ в том числе. А сейчас предпочитает зарабатывать анализом, а не продажей дырок. Мне очень сложно обвинить их в злонамерении, по крайней мере что касается таких вот проходов по коду.
| |
|
3.36, Аноним (-), 11:23, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> а они написали скриптик
> Дружище, а накидайте мне такой скриптик, печеньку дам.
> Coverity -- это в т.ч. народец, который годами выуживал дырки и постил
> их в bugtraq@ и full-disclosure@ в том числе. А сейчас
> предпочитает зарабатывать анализом, а не продажей дырок. Мне очень сложно
> обвинить их в злонамерении, по крайней мере что касается таких вот
> проходов по коду.
большая часть их анализа построена на потрохах gcc - который научили выдавать +/- коректную ругань.
Видел я их результаты и даже анализировал - процентов 30% - false positive. аля как gcc вдруг из-за левой оптимизации начинает кричать о неинициализрованной переменной.
| |
|
4.43, pavlinux (ok), 14:42, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> ... и даже анализировал - процентов 30% - false positive. аля....
О великий и могучий Аноним!!!
Я у них с 2006 года пытаюсь выпросить триальную версию, для анализа 45000 строк.
О Наиумнейший!!! Поделись, сколько мегабаксов отдал?
| |
4.59, szh (ok), 21:50, 04/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Видел я их результаты и даже анализировал - процентов 30% - false
> positive.
Ты так говоришь будто в 70% правильных результатов есть что-то плохое. Люди делают полезное для OSS дело, и попутно зарабатывают на жизнь с маслом. Молодцы.
Они много сделали, впрочем никому не мешают сделать больше и лучше. GCC тебе в руки ананимный критег.
| |
|
3.37, kb (?), 11:37, 03/11/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> а они написали скриптик
> Дружище, а накидайте мне такой скриптик, печеньку дам.
> Coverity -- это в т.ч. народец, который годами выуживал дырки и постил
> их в bugtraq@ и full-disclosure@ в том числе. А сейчас
> предпочитает зарабатывать анализом, а не продажей дырок. Мне очень сложно
> обвинить их в злонамерении, по крайней мере что касается таких вот
> проходов по коду.
ок. На питоне, ничего?
#!/usr/bin/python
# -*- coding: utf-8 -*-
print u'У вас 12 потенциальных уязвимостей'
Чем хуже их скрипта? Или они нашли хоть одну действительно стоящую уязвимость, о которой не знали?)
| |
|
|
5.45, kb (?), 14:47, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Не путаем ошибки и дыры!
В новости написано про уязвимости, вроде.
| |
|
6.47, pavlinux (ok), 14:54, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
Уязвимость это одна из следствий ошибки. То есть, не всяка бага есть уязвимость.
| |
|
|
4.61, szh (ok), 21:58, 04/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Чем хуже их скрипта?
Новость читал? Там ссылки есть, нажимать на них пробовал ? А, о ужас, читать что написано по ссылкам ? Или это тебе не по силам, великий написатель однострочечного скрипта ? Детский сад.
> Или они нашли хоть одну действительно стоящую уязвимость, о которой не знали?)
Сотни.
| |
|
5.67, kb (?), 12:04, 05/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Новость читал? Там ссылки есть, нажимать на них пробовал ? А, о
> ужас, читать что написано по ссылкам ? Или это тебе не
> по силам, великий написатель однострочечного скрипта ? Детский сад.
Читал. Ходил. Что я там должен был увидеть? Ни одной ссылки на их багрепорты конкретные не нашел, увы. Может я плохо смотрел.
Дай мне ссылку, о великий интернет-пользователь.
| |
|
6.68, szh (ok), 18:19, 05/11/2010 [^] [^^] [^^^] [ответить] | +/– | они предлагают багрепорты не всем подряд для злоупотреблений, а предлагают тем к... большой текст свёрнут, показать | |
|
7.69, kb (?), 18:38, 05/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> они предлагают багрепорты не всем подряд
Ну наконец-то.
What types of issues does the tool find?
Some examples of the defects include:
leaked resources
references to pointers that could be NULL
references to pointers that are guaranteed to be NULL
use of uninitialized data
array overruns
unsafe use of signed values
use of resources that have been freed
Короче то, что должно быть отловлено компилятором и тестами. Они написали хитрую фигню, которая чуть лучше это делает. Что ж, да, полезная вещь (которой не должно быть, ибо это должен делать компилятор, но у ребят такой бизнес).
| |
|
|
|
|
|
|
1.13, Иван Иванович Иванов (?), 22:38, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
"Талантов" мышления в обсуждении просто невообразимое количество.
По результатам прошлого исследования, если я точно помню, разработчиками OpenSource было подтверждено не менее 80% ошибок, большую часть которых исправили. Т.е. лишь 20% ошибок оказались ложными срабатываниями.
И напишите-ка "скриптик", который будет находить подобные ошибки. Хочу посмотреть хватит ли мозгов хотя бы находить ошибки уровня "утечек памяти" (Coverity ищет гораздо шире).
| |
|
2.18, ананим (?), 22:51, 02/11/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
валгринд в помощь. если желание будет.
только другое интересно - как прокоментируете меячные с критическими уязвимостями в флэшах, жабах, дотнетах.
| |
|
3.22, Иван Иванович Иванов (?), 00:43, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
Трудно с идиотами спорить - попробуйте valgrind натравить на исходники _не_ запуская программы - это именно то, что делает Coverity. Попробуйте в автоматическом режиме его запустить.
Комментировать нечего, Coverity - это не AI и он не может находить все ошибки.
| |
|
4.23, ананим (?), 00:56, 03/11/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Трудно с идиотами спорить
забавный аргумент. :D
что ж, видимо другого нет.
зы:
никто панацею и не обещал. и вопрос - как прокомментируете критические дни каждый месяц с критическими уязвимостями в закрытом софте (в флэшах, жабах, дотнетах,...), который вообще независимыми конторами не тестируется - остаётся без ответа.
ззы:
надеюсь господин умник понимает, что тестирование с наличием исходников на десятки порядков проще и эффективнее.
| |
|
5.62, szh (ok), 22:03, 04/11/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> забавный аргумент. :D
> что ж, видимо другого нет.
Другой аргумент у товарища написан, но вы его предпочли не заметить. Вернитесь и перечитайте (пропустить надо про идиотов, а прочитать остальное, а не наоборот)
> как прокомментируете критические дни каждый месяц с критическими уязвимостями в закрытом софте
это оффтопик дорогой. Или по фиг что у меня плохо, лишь бы у соседа было хуже ?
Почему позититвную деятельность Coverity воспринимаете как наезд ? Потому что не поняли что они раскравают бесплатно для FOSS найденные баги ?
| |
|
6.70, ананим (?), 01:32, 06/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
читать, дорогой ты наш, научись.
нигде отрицательно их деятельность я не оценивал.
но из тех 80% думаю такой же результат получили бы и сами разработчики используя валгринд и прочие известные утили. а то может и просто обращая внимание на варнинги, которые выдет компилятор. попробуйте к приеру генту и убедитесь сколько там эти варнигов, начиная с самого гцц.
короче, пока не придет добрый дядя и не скажет - вот этот варнинг ведет к такой то дыре, никто и не чешиться.
а с клозет сорсом даже добрый дядя не приходит. и тот булыжник в их городе не мной закинут.
теперь понятна сентенция на широко известное произведение Достоевского, господин защитник униженных и оскорбленных?
| |
|
7.73, szh (ok), 17:58, 06/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> получили бы
Не смогли получить по не важно каким причинам.
Никто кроме coverity за них это тоже не сделал не важно каким причинам.
coverity сделали не важно каким причинам.
Предпочитаю оперировать фактами для оценки заслуг, а не "если бы"
| |
|
|
|
|
|
|
1.20, Александр (??), 23:43, 02/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"Качество Open Source улучшится" - чушь, после отсылки багрепорта от силы улучшится качество куска кода, где были найдены проблемы.
Другой вопрос, как это аналитики нашли (читали - и нашли?) ошибки, которые не видели (ага, читали, но не нашли) сами разработчики, которые и логику приложений, и свой код знают куда как лучше? А если анализ был автоматическим, то можно ли ему верить. Помнится, OpenSSL как-то доанализировали-доулучшали автоматом :)
| |
|
2.21, Аноним (21), 00:03, 03/11/2010 [^] [^^] [^^^] [ответить] | +/– | Чтобы найти ошибки, дыры в безопасности, утечки - не нужно знать код Для этих ц... большой текст свёрнут, показать | |
|
3.24, ананим (?), 00:59, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Чтобы найти ошибки, дыры в безопасности, утечки - не нужно знать код.
знать - не обязательно. иметь исходники - очень желательно.
| |
|
4.33, Аноним (21), 10:36, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>Чтобы найти ошибки, дыры в безопасности, утечки - не нужно знать код.
> знать - не обязательно. иметь исходники - очень желательно.
Ну ведь речь идет об Open Source, поэтому это само собой разумеется
| |
4.34, letsmac (ok), 11:20, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
Если в коде не вырезаны дебаг символы, то где память вытекает и зависшие дескрипторы и так ясно.
| |
|
5.41, ананим (?), 13:51, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
текущая память и не освобожденные ресурсы - это далеко не все баги на планете.
к тому же понять в сложных случаях - не тривиальная задача. а в легких - и без дебагера видно что память течет, ресурсы жруться.
к примеру макос утекает уже релиза 4-5 и никто не шевелится.
| |
|
6.44, letsmac (ok), 14:46, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> к примеру макос утекает уже релиза 4-5 и никто не шевелится.
Не замечал там никаких сильных утечек. В гибернейте мак уже месяца 4, не выключаю. Ну Virtualbox вылетает - но это он от души делает.
В ПО на базе базарных патчей утечки отследить вообще крайне проблематично без сборщика. Один патч привносит, второй накатом удаляет, третий лечит и первый и второй, четвертый исправляет в первом утеку, третий начинает обращаться в астрал и тд и тп. Отслеживать такие утечки жуткий гемморой.
| |
|
7.54, ананим (?), 05:39, 04/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
а я вот замечал.
перегружать макбукпро приходится 2 раза в неделю.
да и гугл соврать не даст - ссылок на это довольно много.
а про базарные патчи - не течет сцуко, как вы не пыжтесь.
к тому же я и сам разработчик и лапшу кому другому вешайте, а не мне. закрытые разработки не лучше, а в силу шкурности и жадности - хуже.
на индокод я насмотрелся, спасибо.
| |
|
|
|
|
|
|
|
|
Часть нити удалена модератором |
3.49, Aleksey (??), 15:58, 03/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
Снизу есть надпись
"** FreeBSD's use of Coverity's tools pre-dates the Scan website, and continues, separate from Scan."
| |
|
|
1.52, Аноним (-), 18:56, 03/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ДЖве ключеые фразы данного исследования:
_____________________________________________
1. "Компания Coverity, разработчик инструмента для автоматического исследования безопасности и качества программного обеспечения на основе сканирования и анализа исходного кода".
2. "Обычно подобные ошибки пользователи Coverity исправляют до выхода продукта на рынок."
_____________________________________________
То есть покупайте продукт этой фирмы, и будет вам счастье. И им тоже.
| |
|
2.63, szh (ok), 22:08, 04/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
> ДЖве ключеые фразы данного исследования:
Нет. Ключевое - что они принесли пользу для Free Open Source Software, а то что они при этом зарабатывают и могут полностью себя посвятить разработке алгоритмов, а не подработке на стороне, так это вдвойне молодцы.
У вас ужасно искаженный фильтр восприятия реальности. Вы увидели вторичное. Пускай пиарятся, пиар хорошей вещи - это хорошо!
| |
|
1.64, Аноним (-), 00:45, 05/11/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>У вас ужасно искаженный фильтр восприятия реальности. Вы увидели вторичное.
Пускай пиарятся, пиар хорошей вещи - это хорошо!
---
По 1й части: это у вас фильтр фантазии и отрыва от реальности. Вы воображаете желаемое, не видя первичного.
По 2й части: Она опровергает ваше заключение из 1й части. Согласен - пускай пиарятся, они же делают деньги и хотят их больше. Их право.
| |
|
2.74, аноним (ok), 19:17, 06/11/2010 [^] [^^] [^^^] [ответить]
| +/– |
Согласен. Удивительно, что существуют такие оторванные от реальной жизни люди.
Возможно, szh не просто витает в облаках, а занимается "облачными вычислениями"?
| |
|
|