Если я "тупо" не дошёл, то и подтвердите вот эту часть из википедии:
В подтверждение этого приведём пример, что исходный код Linux имеет 0.17 ошибок на тысячу строк исходного кода[3], в то время как закрытое коммерческое ПО в среднем насчитывает 20-30 ошибок на 1000 строк исходного кода.

Допустим, 0.17 и 0.38 по порядку величины - примерно одно и то же. Где первоисточник информации про 20-30 ошибок на 1000 строк в проприетарном ПО?

А, вижу теперь ответ. Не, несерьёзно. Притянуто за уши очень жёстко. Не зря ведь этой фразы в английской версии нет. Русская википедия - редкая помойка, там часто всякий бред написано.

автор He goes on to say that “Microsoft Applications: about 10 – 20 defects per 1000 lines of code during in-house testing, and 0.5 defect per KLOC in production.


Т.е. сравнивается тёплое с мягким. В той ссылке, к-рая есть в википедии, цифры открытых и неоткрытых кодов отличаются процентов на 20, но не 200 раз, как Вы написали. В общем, Вы не доказали, что открытые коды лучше за счёт своей открытости. Кстати, даже если они вдруг и лучше, то ещё нужно понять, за счёт чего - могут ведь быть разные причины, почему обязательно дело в законе Линуса?

ptr128, переводить не нужно, но вырезать кусок из цитаты тоже не нужно :) Вы её обрезали ровно там, где цифры стали совпадать.

ptr128, вы извините, но вы пока ничего не доказали. Вы берёте разные цифры, замерянные разными способами, а резать цитаты - это вообще какое-то шулерство. Думаю, лучше всего будет признать, что вы в начальном сообщении написали фигню и что такого факта на самом деле науке неизвестно.

А я ничего и не утверждал на эту тему. Это Вы попытались сказать, что дескать, раз русскоговорящих разработчиков 3%, то и мои коды увидят в 30 раз меньше людей, и дальше привели свои 0.17 и 20-30 (разница в 100 раз). Очень смелое утверждение, а я мог бы поверить, если бы не попросил доказательств. Кто утверждает, тот и доказывает. Я не утверждаю, что маленькая аудитория - это преимущество. Довольно очевидно, что это недостаток. А насколько он существенен? В 100 раз? Нет, мы уже выяснили, что это неправда. Ну так предъявите осмысленную оценку того, насколько этот недостаток велик, тогда и будет предмет для разговора.

Здравый смысл говорит о том, что открытая система должна бы содержать меньше уязвимостей, как игра в шахматы не позволяет обманывать, а в карты - позволяет.

Т.е. проприетарная система, исходящая из недружественной страны - это вообще за гранью добра и зла. Но факты говорят, что и Linux как конкретный пример открытой системы, не заслуживает доверия, потому что башдор.

С учётом этого, я не против открытости, но она не панацея, и пример Линукса нас этому учит.

Если говорить про ошибки, а не уязвимости, то ошибок меньше в той системе, в которую вложили больше труда. Там и про NASA есть - безумно дорогой код, но ошибок очень мало. Кто вложил этот труд - энтузиасты по всему миру или нанятые индусы, как эти люди были организованы - всё это влияет на результат. Также и возраст кода, и количество пользователей - всё влияет.

Я не знаю, что Вы сейчас понимаете под словом "это". Мне, конечно, интересно иметь контраргументы против вот этого вот поверья про "закон Линуса". Про принцип "security through obscurity" я сегодня узнал много нового. Я никогда не верил, что только ключи должны быть скрыты, а сам механизм шифрования - открыт. Потому что вокруг мы видим другое. И сегодня я получил подтверждения, например, про то, что АНБ не следует этому принципу. Или вот интересная цитатка:

авторNIST's cyber resiliency framework, 800-160 Volume 2, recommends the usage of security through obscurity as a complementary part of a resilient and secure computing environment

Т.е. фактически, нет такого закона - он оказался просто городским фольклором. Я это узнал благодаря Вам, спасибо.

А вот с плотностью ошибок никакого результата нет. Вы декларировали закон Линуса, который даже может иметь смысл. Но как он на практике относится к конкретному Линуксу? Вот есть башдор, и он не про количество ошибок, а про серьёзность уязвимостей. Их много не нужно, у них другие параметры. Но, допустим, я дал себя увлечь и позволил перевести тему с серьёзности уязвимостей на количество ошибок. Вы взяли из плохого источника, очевидно, вызывающе ложную информацию, ложность которой легко развенчивается проходом по ссылкам. Во всяком случае, вы не смогли её подтвердить. По тем ссылкам, которые там есть рядом, информация совершенно другая. И по ещё одной ссылке, которую Вы нашли потом, информация тоже другая. Та информация, которая подтвердилась, говорит о том, что разницы между открытым и закрытым софтом по плотности ошибок, в общем-то, нет. Она, так скажем, максимум на 10-20%. А Вы говорите, что она в 100 раз. Я не верю без доказательств. Дальше как бы либо Вы снимаете свой аргумент и мы продолжаем обсуждение бессмысленности моей затеи без него, или мы не продолжаем обсуждение, потому что наша реальность отличается. Пытаться доказывать ваш неудачный тезис за мой счёт - это, конечно, красивая идея, но она не прокатит.

ptr128, поскольку вы продолжаете настаивать на безумном утверждении, что в проприетарных программах плотность ошибок в 100 раз выше, чем в открытых, дальше, к сожалению, обсуждать нечего. В чём проблема с книжкой - вполне понятно. Она в том, что если вы сравниваете две системы по какому-то параметру, то этот параметр должен быть замерен одинаковым способом. Вы сначала берёте industry average из одного места, без цитаты, которая бы говорила, как замерено, а потом берёте инфу из coverity по Linux. Очевидно, что методологией тут и не пахнет, а пахнет тут подтасовкой. Так что извините, это несерьёзный разговор. Я бы предложил перестать валять дурака и признать, что вы в википедии прочитали какую-то хрень и выложили её не подумав. Поскольку Вы упорно отказываетесь, возможно, для Вас главное доказать что в интернетах кто-то не прав, а не истина. Давайте сойдёмся на том, что в Вашей вселенной моя затея не имеет смысла.

Если ты почитал тему, то в линукс в течение 20 лет был башдор. По оценке ptr128, в одном только ядре линукса 0.17 ошибок на 1000 строк кода. Т.е. осталось ещё 1700 потенциальных башдоров. А вот, например, уязвимость, найденная в сертифицированном "российском" линуксе. https://habr.com/ru/post/459274/

А вот статья о том, как ищут ошибки в Астре: https://habr.com/ru/company/astralinux/blog/461691/ , там косвенно признаётся, что они не контролируют безопасность. Т.к. искать уязвимости - это одно, а иметь систему без уязвимостей - это другое. Отличаются как процесс и результат.


Что это тогда, как не троянский конь? Можно, конечно, прикрыться словами о том, что других коней у нас нет, потому что Windows - это тем более троянский конь. Т.е. мы знаем, что этот конь - троянский, но всё равно на нём поедем. По сути дела так и делает сейчас наша страна. И это будет иметь очевидные последствия.

Также всем, у кого ещё недостаточный уровень озабоченности вопросами кибербезопасности, рекомендую почитать вот это: https://habr.com/ru/post/488460/
авторCrypto AG, первого своего успеха добилась, заключив во время Второй Мировой войны контракт на создание кодирующих машин для пехоты армии США. Как следует заработав на этом, она на десятилетия стала доминирующим производителем шифровального оборудования, и шла на переднем крае технологий, переходя от механических шестерней к электронным схемам, и, наконец, к кремниевым чипам и программному обеспечению.

Эта швейцарская фирма заработала миллионы долларов, продавая оборудование в более чем 120 стран, не только в XX, но и в XXI веке. Среди её клиентов были правительство Ирана, военные хунты Латинской Америки, обладатели ядерного оружия и соперники Индия и Пакистан, и даже Ватикан.

Однако все эти клиенты не подозревали, что ЦРУ в рамках совершенно секретного партнёрства с западногерманской разведкой тайно владела Crypto. Эти разведывательные агентства подправляли устройства компании так, что легко могли взламывать коды, используемые странами для обмена зашифрованными сообщениями.

Или вот:

https://www.iphones.ru/iNotes/402605
авторШпионские приложения были обнаружены специалистами в прошивках накопителей от крупнейших мировых компаний, включая Seagate, Toshiba, Western Digital, Samsung и Micron. Это ПО расположено в специальной микросхеме на HDD или SSD, которая управляет устройством. Доступа к ней нет ни у пользователя, ни, естественно, у антивирусных приложений. Более того, даже если накопитель отформатировать, включая низкоуровневый вариант, то прошивка останется в нетронутом виде, а значит и зловред сохранится. Можно, конечно, перезаписать прошивку, но далеко не для всех HDD и SSD имеются соответствующие инструменты в открытом доступе. Кроме того, есть еще одна проблема в определении наличия шпионского ПО. Нет никаких гарантий, что им не будет заражена и другая прошивка, устанавливаемая на место старой.

Что касается возможностей своеобразного вируса, то он может собирать различные данные с компьютеров, в которых установлен зараженный накопитель, а также из внутренней Сети, если есть к ней доступ. Чтобы затем злоумышленникам получить доступ к сохраненной информации, достаточно подключить специальный флеш-драйв, который, к слову, может использовать уязвимость BadUSB. Заблокированы USB? Не беда, вставьте любой другой носитель информации будь то оптический диск или дискета, правда, потребуется еще и доступ к Интернету и если такой есть, тогда данные будут переданы через Сеть.