heartbleed - ceho vseho se vlastne tyka

Jan Pechanec jp at devnull.cz
Mon Apr 14 00:20:39 CEST 2014

Previous message: heartbleed - ceho vseho se vlastne tyka
Next message: heartbleed - ceho vseho se vlastne tyka
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On Fri, 11 Apr 2014, Dan Lukes wrote:

> Skoda jen, ze se mezi tema milionama uzivatelu nenajde par, ktery by neco
> podobnyho delali, akoratze zadarmo. I kdyz ono by to asi nefungovalo ani kdyby
> se nasli - je to takovy "zakladni vyzkum", ktery sezere spoustu casu (a to
> nejen tomu, kdo ty veci zkouma, ale nasledne i tem, co mohou delat zasahy do
> kodu, kdyz se maji zabyvat pripominkama, ktery on posle) - a vetsinu casu z
> tyhle prace nepada nic viditelne uzitecnyho.

	navic by z toho nic nemeli.  Pokud ma clovek svy jmeno v commitech 
dulezitych veci, je to pro hodne lidi dostatecna odmena.  Mit svy jmeno u 
commitu odstraneni warningu v buildu uz tak rajcovni neni.  To je proste 
realita.  Natoz delat jen code review.  Urcite by se ale jednotlivy zmeny v 
kodu daly pouzivat jako studijni material pro seminare o bezpecnosti, 
programovani v C, atd.  Jenze to uz moc lidi nezajima, to je taky holt 
realita.  Kdyz jsme pred lety s Vladou Kotalem na MFF uvedli novou prednasku 
pokrocilyho programovani pod unixem jako pokracovani existujiciho 
volitelnyho programovani v unixu, tak se na to prihlasili asi 4 studenti.

<...>
> hlaseni ? 20% jich skutecne bylo do roka vyreseno. 80% jich bylo vyreseno s
> prumernou(!) dobou na reseni 4.5roku, 20% jich je dosud nedotknuto,
>
> Asi neprekvapi, ze jsem se do podobnyho dobrodruzstvi uz nikdy znova nepustil,
> protoze to je v podstate ztrata casu.

	z FreeBSD jsem mel podobny pocit.  OpenSSL je o neco lepsi, ale taky 
ma samozrejme min kodu.  OpenSSH je v tomhle velmi dobry, pokud clovek neco 
logne, je to rozumny a ma to patch, vetsinou se to tam v krakty dobe 
(rekneme 1-2 releasy) dostane.  Jenze OpenSSH ma zase vyrazne min kodu nez 
OpenSSL a navic se rozsireni protokolu objevuji pomaleji, takze je cas 
fixovat i maly chyby.

	OpenSSL je postaveny na kodu SSLeay jeste z 90. let, nese s sebou 
spoustu veci, ktery se tezko daji zmenit.  A navic to, ze nekdo nabidne kod, 
na ktery se podiva jediny OpenSSL developer, tomu proste nepomaha.  Treba se 
jednotlivy zavisly projekty zacnou o tyhle veci vic zajimat.

> Nepisu to abych si ukrivdene postezoval, ze na me kaslou - jen, ze o tomhle
> "pripadu" mam detailni informace. Celkem jasne to demonstruje jaka je realita
> moderniho programovani. Dokud neni prusvih, tak na cisty programovani nebo
> uklizeni drivejsiho necistyho kodu proste neni cas. Nemam duvod predpokladat,
> ze v jinych open source projektech je to nejak jiny.

	ja tomu naprosto rozumim.

	h.

-- 
Jan Pechanec <jp (at) devnull (dot) cz>
http://www.devnull.cz

Previous message: heartbleed - ceho vseho se vlastne tyka
Next message: heartbleed - ceho vseho se vlastne tyka
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list