Nagy pénzeket fog fizetni szoftverbugokért az EU

Nagy pénzeket fog fizetni szoftverbugokért az EU
2018-12-31T08:10:05+01:00
2019-01-04T12:01:38+01:00
2022-10-18T12:05:42+02:00
  • A blink is tartozhatna nyugodtan ide. Azt tényleg rengeteg eszköz/felhasználó használja.
    Mutasd a teljes hozzászólást!
  • Köszi szépen a részlétes választ! :)

    Ezeket a programokat még kisebb elterjedtséget feltételezve is százezrek-milliók használják naponta, szóval az ilyen hibák jó eséllyel előjöttek már.

    Igen, ebben teljesen igazad van, ugyanakkor ezen azért meglepődtem: 7-Zip bug.

    Nem is gondoltam volna, hogy egy ilyen hiba, egy ennyire elterjedt programban előjöhet... és nem is régi bug! :)
    Mutasd a teljes hozzászólást!
  • Szerintetek mennyi az esélye annak hogy átlag felhasználóként hibát találjon az ember ezekben a programokban (pl: 7-zip, VLC, Notepad++, Filezilla )?

    Semennyi.

    Hagyományos (napi) használat során jöhetnek elő olyan hibák, amelyeket érdemes jelenteni?

    Ezeket a programokat még kisebb elterjedtséget feltételezve is százezrek-milliók használják naponta, szóval az ilyen hibák jó eséllyel előjöttek már.

    Ha szeretnék hibákat keresni, milyen irányban érdemes ezt elkezdeni a tesztelést?

    Ez egy külön műfaj, csak a pénzért teljesen esélytelen belevágni. Nyílt forrás, tehát átengedheted lintereken, kódanalizátorokon, elolvashatod a kódot és gyárthatsz hozzá teszteket. Csak mikor letöltöd, látni fogod, hogy lintereken meg kódanalizátorokon már átment, és tipikusan van hozzá több emberév alatt összeállított tesztcsomag is. Ennél nulláról nehéz okosabbnak lenni. Marad a kód olvasgatása, amihez viszont nem elég a puszta türelem. Illetve meg lehet nézni, hogy mindegyikre igazak-e ezek a feltételezések, mert én csak valószínűsítem, de nem néztem végig.
    Mutasd a teljes hozzászólást!
  • En mobil appokban is szoktam talalni hibakat, pl facebook, instagram. Igaz ezek kisebb hibak, de vannak:)
    Mutasd a teljes hozzászólást!
  • Én az EU helyében két dolgot fogalmaznék törvénybe. Az egyik egy kötelező bug bounty kiírása az alkalmazás ára, előfizetési díj, vagy in-app purchase alapján számolva eladások alapján kalkulált szorzóval, amit a szoftvert fejlesztő cégnek kell kiírnia és monitoroznia megfelelő auditokkal.
    A másik pedig egy pályázat lenne end-userek részére, ahol egy user fel tudná hívni a figyelmet egy olyan foss alkalmazásra, aminek nincs bug bountyja. Ebben az esetben jönne egy vizsgálat, hogy mekkora userbaset érint, és ha elér egy limitet, akkor kapja az EUtól bug bounty támogatást.
    Aki az elsőnek nem felelne meg, nem kapna meg egy plecsnit, hogy secure software
    Mutasd a teljes hozzászólást!
  • Sok rizsa a semmire... Tudod nem ma találták fel azt, hogy a termékért felelősséget kell(kéne) vállalnia a gyártónak.

    Na, most akkor döntsd el, hogy már van ilyen törvénye az EU-nak - vagy az EU-nak kellene egy ilyent törvényt hoznia! Mert két hozzászólással ezelőtt azt mondtad, hogy kellene ilyen szabályozás - most meg azt, hogy ez már régóta van. Akkor most melyik?

    Most használd kicsikét a fejecskédet. Ha oda állítana az EU, hogy oké srácok, szép, hogy ingyen nyújtotok szolgáltatást megannyi embernek, de itt van pár száz oldal követelmény, feleljetek meg neki, vagy rátok sózunk pár száz millát.... akkor szerinted hány cég marad az ilyen projektek mögött? Vagy magán ember ha már azzal példálózol hm?

    Na, most akkor döntsd el, hogy az EU-nak törvényekkel kellene kényszeríteni a szoftvergyártókat arra, hogy toldozzák a biztonsági lyukakat - vagy nem, mert akkor senki nem fog szoftvereket fejleszteni! Mert, hogy pár hozzászólással előbb még előbbit követelted - most meg pont azt mondod, hogy nem kellene, mert akkor senki nem fog szoftvereket fejleszteni. Akkor most mi legyen?

    Szólja ha sikerült végre egy konzekvens, homlokegyenes ellentmondásoktól mentes álláspontod kialakítanod ezekkel a dolgokkal kapcsolatban. Aztán ha ez megvan, akkor talán majd elkezdhetünk beszélni arról, hogy jó vagy rossz ötlet -e az, amit javasolsz. De addig, amíg saját magadat cáfolod két hozzászóláson belül rendszeresen, addig semmi értelme, hogy bárki bekapcsolódjon a dilletáns monológodba. Vagy hogy egyáltalán megjelenjen az itt.
    Mutasd a teljes hozzászólást!

  • Már elmondtam, hogy miért értelmetlen az, amit mondasz. Azért, mert attól, hogy a törvénybe beleírják, hogy a biztonsági hibákat meg kell találni, attól azok még nem kerülnek majd szükségszerűen megtalálásra - mert, hogy az emberi törvények meg nem írják felül a fizikai, logikai és gazdasági törvényeket, amik gyakorlati szempontól szinte lehetetlenné, de mindenképpen gazdaságtalanná teszik a bugok 100%-os (vagy akár csak azt közelíteni próbáló mértékű) felderítését. Ezért mellesleg ilyen törvény ebben a formában nem is lesz soha.

    Sok rizsa a semmire... Tudod nem ma találták fel azt, hogy a termékért felelősséget kell(kéne) vállalnia a gyártónak. Keresheted a kákán a csomót, de eddig is megoldották (már ahogy) megannyi más helyen is, itt is pont ugyan ez a céljuk. Hogy a jelenleg 0-hoz konvergáló szabályzáson javítsanak. Nem lesz tökéletes... és csak az fogja kihasználni aki kitudja, de megpróbálják, hisz alapból ezért kapják a fizetésüket...

    Akkor ennek kapcsán is ismét elmondom, hogy egyrészt, de a legtöbb nyílt forrású szoftver mögött is áll valamilyen gazdasági szervezet, cég. Másrészt ha nem áll mögötte szervezet, akkor is vannak mögötte magánember fejlesztők, akikre szintén rá lehet a bírságot sózni. Szóval nem ezen múlik a dolog. De ha nem lehetne rájuk sózni, mert utolérhetetlenek lennének, illetve nem lehetne tudni, hogy kik ők, az megint, illetve még inkább a nyílt forrású kiemelt támogatása ellen szólna, hiszen az azt jelentené, hogy az EU egy, magukat a törvények ereje alól kivonó csoportot, jelenséget,s zoftvertípust támogat, ami nyilván abszurdum lenne. Szóval ennek kapcsán megint nincs semmi teteje annak, amit mondasz.

    Nem, emögött annyi van, hogy nem látod a fától az erdőt....
    Beszélsz dolgokról, de bele se gondolsz, hogy mi van a szavak mögött. Nem eszéket kéne írni, hanem átgondolni azt, amiről írni próbálsz.
    Igen vannak mögötte cégek.... még...
    Most használd kicsikét a fejecskédet. Ha oda állítana az EU, hogy oké srácok, szép, hogy ingyen nyújtotok szolgáltatást megannyi embernek, de itt van pár száz oldal követelmény, feleljetek meg neki, vagy rátok sózunk pár száz millát.... akkor szerinted hány cég marad az ilyen projektek mögött? Vagy magán ember ha már azzal példálózol hm?

    Arról, hogy számos Microsoft termék is nyílt forrású (akár olyan értelemben is, mint a felsorolt szoftverek, pl. .NET Core, vagy kicsit más értelemben, de még mindig a nyílt forrás általános kritériumainak megfelelve), már nem is beszélek.

    Helyes, hogy nem beszélsz, hisz a cikk sem beszél róluk :)

    Függetlenül attól, ha te ezt megérted vagy sem.

    Ironikus, hogy te beszélsz arról, hogy ki nem érti meg a dolgokat, mikor _ALAP_ összefüggésekkel sem vagy tisztában....
    Mutasd a teljes hozzászólást!
  • Sziasztok!
    Szerintetek mennyi az esélye annak hogy átlag felhasználóként hibát találjon az ember ezekben a programokban (pl: 7-zip, VLC, Notepad++, Filezilla )?
    Ha szeretnék hibákat keresni, milyen irányban érdemes ezt elkezdeni a tesztelést? Hagyományos (napi) használat során jöhetnek elő olyan hibák, amelyeket érdemes jelenteni?

    Köszi a válaszokat! :)
    Mutasd a teljes hozzászólást!
  • A GNU C library azért gyakorlatilag olyan, hogy minden egyes linux rendszer teljes egészben azon nyugszik ha a rendszer alapjait nézzük... Persze ott a "musl", meg pár másik, de pont azok az elhanyagolhatóak. Tökre nem kisebbségi programok szerintem se - bár örülnék ha notepad++ helyett ott lenne a vim és pár másik editor

    Egyébként fogalmam sincs hogyan akarják szabályzni az ebből fakadó fekete gazdaságot: mármint azt a szitut, hogy fogod a nyílt forrású rendszeren kommitoló havert/ismerőst aztán megdumálod vele, hogy rejtsen el egy nagyon nehezen debugolható, vagy látható bugot. Ha ez készen van, akkor már csak ki kell várni egy biztonsági periódust és be lehet kaszálni a pénzt?
    Mutasd a teljes hozzászólást!
  • ÁNYK nem játszik, mert ott tudok vagy tucatnyit.
    Mutasd a teljes hozzászólást!
  • Azért ne tegyünk már úgy, mintha az EU mindenféle szervezeteinél és általa finanszírozott ügynökségeknél ne lenne pár ezer programozó illetve ne lenne pénzügyi kerete (ha már jutalmat is adott a megtalálásra), hogy megbízást adjon javításra.

    Egyrészt ez a program nem erről szól, hanem kifejezetten és csakis a hibák feltárásáról. Tehát, igen, jelenlegi állás szerint "az EU mindenféle szervezeteinél és általa finanszírozott ügynökségeknél" nem, hogy pár ezer, de konkrétan egyetlen programozó sincs, akit amiatt tartanának, hogy a megtalált hibákat ki is javítsa, illetve akinek bérét vagy munkája ellenértékét fedezné az EU ezen a címen.

    (De ha lennének is ilyen emberek, akkor meg jöhetne az a kérdés, hogy akkor mire fel a bug bounty, és miért fizet ki pénzeket az EU külső feleknek, és miért nem a szóban forgó, az ő alkalmazásában szakemberek bérére költi az összeget, illetve miért nem őket bízza meg a hibák megtalálásával is?)


    Másrészt hiába is készítenék el az EU valamiféle alkalmazottai - akik a projektek szempontjából harmadik félnek minősülnek - a javítást, ha a szoftver eredeti repója nem fogadja be azt (márpedig ez nem kényszeríthető ki, pontosabban erről megint nem rendelkezik és gondoskodik ez a program, ami nyilván egy újabb hibája), akkor az elkészült javítás maximum patchként, a javított verzió maximum forkként lenne közzétehető. Amikről az elmúlt 25 év nyílt forrású tapasztalatai alapján pontosan tudjuk, hogy mennyire (nem) sikeresek, sőt, konkrétan az esetek 99.999%-ban teljességgel esélytelenek és irrelevánsak az eredeti projekttel szemben, illetve ahhoz képest.

    Ráadásul értelmetlenek is, hiszen szétforgácsolják azokat az erőket, amik egyesítése és egy irányba terelése a nyílt forrású szoftverek egyik legnagyobb előnye lehetne - legalábbis ha eltekintünk ennek a versenyre gyakorolt negatív hatásaitól.

    Szóval nem, illetve igen, ez egy újabb jó érv amellett, hogy miért teljes hülyeség ez a program úgy, ahogy van. Ez egyszerűen egy újabb politikai jellegű döntés, aminek gazdasági és technikai racionalitása, hatékonysága a nullához közelít.
    Mutasd a teljes hozzászólást!
  • Az, hogy mit ír a licencbe egy cég, a lőtéri kutyát sem érdekli... licenc szerződés nem ír át törvényeket

    Na, most akkor döntsd el, hogy mit akarsz mondani! Azt amit eddig is, hogy a) "ezek nyílt forráskódú szoftverek, ami mögött nem áll kvázi cég, így "itt van, használhatod saját felelősségre" elvvel vannak tálalva", vagy azt, hogy b) a szoftvereket nem lehet így tálalni, illetve jó lenne, ha nem lehetne, és ezt törvénnyel kellene kikényszeríteni az EU-nak! Aztán ha eldöntötted végre, hogy mit akarsz állítani, akkor tudasd velünk, és akkor folytathatjuk onnan! Mert jelenleg két hozzászóláson belül tökéletesen ellentmondasz magadnak.

    ha az EU azt mondja, hogy márpedig figyelniük kell rá, akkor figyelniük kell rá, függetlenül attól, hogy mit írogatnak bele a saját licenc szerződésükbe.

    Már elmondtam, hogy miért értelmetlen az, amit mondasz. Azért, mert attól, hogy a törvénybe beleírják, hogy a biztonsági hibákat meg kell találni, attól azok még nem kerülnek majd szükségszerűen megtalálásra - mert, hogy az emberi törvények meg nem írják felül a fizikai, logikai és gazdasági törvényeket, amik gyakorlati szempontól szinte lehetetlenné, de mindenképpen gazdaságtalanná teszik a bugok 100%-os (vagy akár csak azt közelíteni próbáló mértékű) felderítését. Ezért mellesleg ilyen törvény ebben a formában nem is lesz soha.

    Viszont egy senki által fejlesztett szoftver mögött nincs egy cég

    Akkor ennek kapcsán is ismét elmondom, hogy egyrészt, de a legtöbb nyílt forrású szoftver mögött is áll valamilyen gazdasági szervezet, cég. Másrészt ha nem áll mögötte szervezet, akkor is vannak mögötte magánember fejlesztők, akikre szintén rá lehet a bírságot sózni. Szóval nem ezen múlik a dolog.

    De ha nem lehetne rájuk sózni, mert utolérhetetlenek lennének, illetve nem lehetne tudni, hogy kik ők, az megint, illetve még inkább a nyílt forrású kiemelt támogatása ellen szólna, hiszen az azt jelentené, hogy az EU egy, magukat a törvények ereje alól kivonó csoportot, jelenséget,s zoftvertípust támogat, ami nyilván abszurdum lenne.

    Szóval ennek kapcsán megint nincs semmi teteje annak, amit mondasz.

    Jah persze, osztogassa ki az EU az adófizetők pénzét, mert szegény m$-nek nem telik rá mi?

    Jah persze, osztogassa ki az EU az adófizetők pénzét, mert szegény nyílt forrású szoftverfejlesztőnek nem telik rá?

    Arról, hogy számos Microsoft termék is nyílt forrású (akár olyan értelemben is, mint a felsorolt szoftverek, pl. .NET Core, vagy kicsit más értelemben, de még mindig a nyílt forrás általános kritériumainak megfelelve), már nem is beszélek.

    Ezt a mondatot vagy nem gondoltad át

    Tökéletesen átgondoltam. A baj nem ezzel volt, hanem azzal, hogy nem értetted meg. Ahogy szinte semelyik másik elhangzott állítást, illetve annak következményeit sem. Lásd fent!

    Tekints erre úgy mint egy támogatás. Az EU segítséget nyújt azoknak a projekteknek, amik alapból is közösségi szolgálatot teljesítenek azáltal, hogy ingyen nyújtanak olyan szolgáltatást, amit más pénzért ad (pl.: 7zip).

    Egyrészt ha támogatást kap és azért csinálja, akkor gyakorlatilag nem ingyen adja, hanem ugyanúgy pénzért - csak azt nem a vásárlótól közvetlenül, hanem az adókból, kerülő utakon kapja. Másrészt akkor mondjuk el zsinórban harmadszor is neked, mert a jelek szerint még mindig nem érted, hogy a legtöbb nyílt forrású szoftvert cégek fejlesztik és fejlesztetik, kizárólag önös profitérdekből, függetlenül attól, hogy ingyen adják. 

    A nyílt forrásúság egyszerűen nem nem közhasznúsági jelzője egy szoftvernek - ezért teljesen rossz még a piactorzító, illetve a korábban említett rossz hatékonysági mutatóitól eltekintve is ez az ötlet. Függetlenül attól, ha te ezt megérted vagy sem.
    Mutasd a teljes hozzászólást!
  • Egyrészt gyakorlatilag minden kereskedelmi szoftver licence is pont ezt mondja - ti. hogy csak saját felelősségre használhatod, illetve, hogy a gyártó semmilyen jótállást nem vállal. Másrészt ha nem így lenne, az se változtatna semmit a tényen, hogy az érintett szoftverekben azonosított hibák sokkal kevesebb felhasználót veszélyeztetnek, mint az elterjedtebb szoftverekben megbújóak.

    Az, hogy mit ír a licencbe egy cég, a lőtéri kutyát sem érdekli... licenc szerződés nem ír át törvényeket, így ha az EU azt mondja, hogy márpedig figyelniük kell rá, akkor figyelniük kell rá, függetlenül attól, hogy mit írogatnak bele a saját licenc szerződésükbe.
    Viszont egy senki által fejlesztett szoftver mögött nincs egy cég, akire rásózza a bírságot, ha megszegi azt....

    Emiatt ha a biztonság a fontos, akkor nem, illetve csak nyílt forrású szoftverek bugjainak keresését kellene támogatni a programban, hanem a legelterjedtebbekét - teljesen függetlenül attól, hogy a forrása nyílt -e.

    Jah persze, osztogassa ki az EU az adófizetők pénzét, mert szegény m$-nek nem telik rá mi? Ezt a mondatot vagy nem gondoltad át, vagy csak nem vagy képes értelmezni a helyzetet, de egy nyílt programot, amit mindenki ingyé használhat nyugodtan támogathat az EU. De miért tömje egy kapitalista cég zsebét, mikor az EU polgárok azon nem nyernek, ha úgyis ki kell fizessék a suskát a szoftverért?
    Tekints erre úgy mint egy támogatás. Az EU segítséget nyújt azoknak a projekteknek, amik alapból is közösségi szolgálatot teljesítenek azáltal, hogy ingyen nyújtanak olyan szolgáltatást, amit más pénzért ad (pl.: 7zip).
    Mutasd a teljes hozzászólást!
  • hiába is azonosítanak sebezhetőségeket bennük, mert attól még mindig kérdés lesz, hogy a javítás mikorra készül el, milyen minőségű lesz

    Azért ne tegyünk már úgy, mintha az EU mindenféle szervezeteinél és általa finanszírozott ügynökségeknél ne lenne pár ezer programozó illetve ne lenne pénzügyi kerete (ha már jutalmat is adott a megtalálásra), hogy megbízást adjon javításra.
    Mutasd a teljes hozzászólást!
  • 0-day exploitért a darnet jobban fizet :)
    Mutasd a teljes hozzászólást!
  • Hat a notpad++, 7zip vagy épp a GNU C lib nem épp kisebbségi programok, inkább alapvető programok.

    Azok is mind elég nyilvánvalóan elenyésző számú felhasználóval rendelkeznek pl. egy Visual Studio-hoz vagy Eclipse-hez, WinRAR-hoz vagy éppen az MSVC-hez képest. Bár mellesleg a cikk egyiküket sem emeli ki, mint "kisebbségi programok", csak azt mondja, hogy a felsoroltak "jelentős része mérhetetlen vagy erősen kisebbségi részesedéssel rendelkezik".

    Ott lehet a kulcs, hogy ezek nyílt forráskódú szoftverek, ami mögött nem áll kvázi cég, így "itt van, használhatod saját felelősségre" elvvel vannak tálalva.

    Egyrészt gyakorlatilag minden kereskedelmi szoftver licence is pont ezt mondja - ti. hogy csak saját felelősségre használhatod, illetve, hogy a gyártó semmilyen jótállást nem vállal. Másrészt ha nem így lenne, az se változtatna semmit a tényen, hogy az érintett szoftverekben azonosított hibák sokkal kevesebb felhasználót veszélyeztetnek, mint az elterjedtebb szoftverekben megbújóak.

    Emiatt ha a biztonság a fontos, akkor nem, illetve csak nyílt forrású szoftverek bugjainak keresését kellene támogatni a programban, hanem a legelterjedtebbekét - teljesen függetlenül attól, hogy a forrása nyílt -e. Ha pedig nem a biztonság a fontos, hanem a nyílt forrású szoftverek - vagy ezen konkrét szoftverek - fejlesztése, akkor meg nem bug bounty-t kellene kiírni, hanem más módon dotálni a fejlesztésüket.

    Ennek ebben a formában viszont szinte semmi értelme sincs. Főleg, hogy számos nyílt forrású szoftver már eleve fejlesztőhiánnyal küzd - így hiába is azonosítanak sebezhetőségeket bennük, mert attól még mindig kérdés lesz, hogy a javítás mikorra készül el, milyen minőségű lesz, stb.

    Viszont a mainstream, licenc díjas termékek mögött ott van egy cég, amiket az EU törvényekkel kényszeríthet arra, hogy toldozzák a biztonsági lyukakat, így ott nem kell az EU-nak fizetnie a bugokért, majd megteszik a cégek...

    Egyrészt számos nyílt forrású szoftver mögött is egy vagy több cég van - így ez önmagában nem jelent semmit. Másrészt a törvényekkel nem csak cégeket lehet kötelezni. Harmadrészt pedig ezt mégis hogyan gondoltad - hogy előírják egy törvényben, hogy kötelező lesz megtalálni a biztonsági hibákat a szoftverekben, és akkor azok majd jól megtalálásra kerülnek?
    Mutasd a teljes hozzászólást!
  • Hat a notpad++, 7zip vagy épp a GNU C lib nem épp kisebbségi programok, inkább alapvető programok.

    Amúgy meg nem véletlen ilyen szerintem. Ott lehet a kulcs, hogy ezek nyílt forráskódú szoftverek, ami mögött nem áll kvázi cég, így "itt van, használhatod saját felelősségre" elvvel vannak tálalva.
    Viszont a mainstream, licenc díjas termékek mögött ott van egy cég, amiket az EU törvényekkel kényszeríthet arra, hogy toldozzák a biztonsági lyukakat, így ott nem kell az EU-nak fizetnie a bugokért, majd megteszik a cégek...
    Mutasd a teljes hozzászólást!
  • Gondolom ez egy kezdő lépés ahhoz, hogy kialakítson az EU egy "hivatalos" sw portfóliót.
    Az logikus lenne, hogy a "nemzetbiztonságilag fontos" gépeken csak egy ismert és valamilyen szinten követett programokból álló csokor lehetne egy telepítési lemezképben.
    Vagyis nem a tömegek védelme lehet az első cél, hanem az EU-s szervezeteké.
    Ettől még komoly biztosíték lehetne egy egy sw választásánál a lakosságnak is, ha valóban lenne egy olyan lista, hogy mely szoftvereket választott és próbál valamilyen szinten biztonságosan tartani az EU.
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd