Компания Qualys...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56717
Грустно осознавать, что линукс стал ре#етом.
Always has been
И это peшeтo раздувается с каждым годом..
Так и количество СПО растёт с каждым годом.PS Хотя, да, количество проектов на JS растёт опережающими темпами.
It's always been like that.Open Source being more secure just because ostensibly more eyes are on it is nothing more than a myth.
It's about a coding culture, monetary rewards and QA/QC.
All three are sorely missing in Open Source.
Sorry for English, too lazy to set up an English kbd layout.
// b.
Позволю себе с Вами не согласиться.
Если мы проанализируем среднегодовые значения по зафиксированным cve, мы увидим бурный рост емнип года этак с 2005.
Причин этому конечно много, но доминантой полагаю является тренд на имплементацию корпоративных, монстроподобных решений. До этого все было вполне хорошо.Что касается Ваших намеков о том, что в enterprise все хорошо, потому что деньги и qa... Вашими бы устами да в райский сад.
Культура производства - это скорее личные характеристики разработчика помноженные на навыки и опыт.
Все проще, до 2005 года их практически не искали, потому что оно нафиг никому не вперлось.
А вот когда туда пошел ынтырпрайз и там появилось где можно заработать (взломы, кражи данных, просто dos на заказ), то и искать начали. И находили не только в новых кодах, а и в совсем окаменевшем г. И до сих пор находят.
В Вашей точке зрения есть рациональное зерно, на мой взгляд.
Однако давайте посмотрим на ситуацию под другой призмой.
Что мы подразумеваем под: никому нафиг не вперлось?
На десктопе линукс как был у энтузиастов, так и остался. Доля этих пользователей +- одинакова.
Произошел рост в серверном сегменте. Но за счет чего? За счет замещения freebsd. В freebsd кол-во найденных уязвимостей +- не меняется несмотря на перемены в доле рынка.
Безусловно они там есть. Полагаю, что если бы доля бсд вернулась к прежним значениям конечно их находили бы чаще. Но это экстраполяция (если бы...).
Сейчас мы имеем то, что в паблике сплоитов в 10ки раз больше под линукс. Таким образом мне лично спокойнее эксплуатировать ОС, под которую у скрипт киддисов меньше инструментов для баловства.
>За счет замещения freebsd.Ну вот, а начинали вроде бы хорошо.. а тут такое...
Поешьте что нибудь... а то галлюцинации уже начались...
А почему freebsd а не скажем openbsd/netbsd/solaris/whatever else? :)
Потому что их к тому моменту, как корпоративный монстр начал пожирать *bsd, на рынке уже было около нуля.Причем часть этих соплярисов заменили сперва именно фрей а не bug 12309
Ну потому что для апача ставить солярку и закупать санки далеко не всегда было нужно. Говоря о статистике, я аппелировал к веб сервеоам. Другой статистики просто не существует.
До 2005 г. в этом отношении фря абсолютно доминировала. Поднимите источники, если на слово не верите.
> Ну потому что для апача ставить солярку и закупать санки далеко не
> всегда было нужно. Говоря о статистике, я аппелировал к веб сервеоам.
> Другой статистики просто не существует.
> До 2005 г. в этом отношении фря абсолютно доминировала. Поднимите источники, если
> на слово не верите.Помню, сам сидел на #freebsd
. Какоето время была популярна восьмерка и только в узком российском сегменте физиков-шизиков
Вот помню времена, когда при российский "физиках-шизиках" "все работало нормально".
Потом физики ушли из российского сегмента и все сразу изменилось.
Я в ту пору пользовал дженту. Теперь вот фрибсди.
Благодарю Вас за беспокойство о содержании глюкозы в моем МНУ. Только что отужинал.
Что Вас конкретно не устроило в моем ответе?
Статистика веб сервисов- в то время (да и сейчас) строилась по 4-м основным хостерам. Какую ОС выберет хостер- та и попадает в топ :)К корпоративному сектору это не имеет никакого отношения.
В корпоративном секторе была винда, линукс и "настоящий" юникс (чпуксы аиксы солярки). Ибо энтерпрайз. Ибо контракты на поддержку. У фри таковых никогда небыло нет и не будет (один полуживой не в счет по сути).
Увлеченность BSD наблюдалась в сфере веб исключительно в постсоветском пространстве.
И да, статистики и топов было в то время полно.И фря в них занимала свое законное место - возле плинтуса...
Исключение - рамблер и яндекс выбрали фрю (потому что разработчик известный был свой), и поэтому по эту сторону забора была популярна BSD. Но опять же, к корпоративному сектору это не имеет никакого значения.
>Статистика веб сервисов- в то время (да и сейчас) строилась по 4-м основным хостерам. Какую ОС выберет хостер- та и попадает в топ :)Моя логика проста. Веб сервисы - это что? Инторнет. Значит ос, которая обслуживает запросы веб сервера учитываем в статистике.
Хостер - это бизнес.
Корп сектор сайты тоже ради бизнеса применял/и пока еще применяет.>К корпоративному сектору это не имеет никакого отношения
Корп сектор - понятие растяжимое. Кто трафик шеститонниками разруливал, кто жуниперами, а кто и бсдами...
Повторюсь, я изначально говорил о вебе.>В корпоративном секторе была винда, линукс и "настоящий" юникс (чпуксы аиксы солярки). Ибо энтерпрайз. Ибо контракты на поддержку. У фри таковых никогда небыло нет и не будет (один полуживой не в счет по сути).
Почему была? Ничего особо и не изменилось.
Зы. За четверть века стажа ни разу не прибегал к поддержке.
>Увлеченность BSD наблюдалась в сфере веб исключительно в постсоветском пространстве.
Правда? А если статик каунтеры какие посмотрим? Разве только евразийский контингент?
> да, статистики и топов было в то время полно. Фрия в них занимала свое законное место - возле плинтуса...
В вебе? Статистику в студию, или Вы лжец, сударь.
Так же прошу пояснить, Вы места прописываете исходя из своего личного положения в стратификационной иерархии? Или просто голословно?
>Но опять же, к корпоративному сектору это не имеет никакого значения.
Прошу пояснить, что такое корп сектор. Входит в него кто? Смб, например входит?
> За счет замещения freebsd.вообще-то сперва сопляриса и hpux (ни разу не было жалко, поверьте)
bsd доели последними.> мне лично спокойнее эксплуатировать ОС, под которую у скрипт киддисов меньше инструментов для
> баловства.Это 2019ю, поди? Да, мне тоже, но пока на 16й застрял. Лицензия, с-ка, дорого :-( Вроде только-только с 12го уродца сползли, и на тебе, опять плати.
>вообще-то сперва сопляриса и hpux (ни разу не было жалко, поверьте)bsd доели последними.
Согласен. я рассматривал период не от начала времен, а с начала нулевых. И не сервера общего назначения, а веб. (Извиняюсь за то, что не уточнил, прыгаю с ветки прр файрфокс. Посмотрел, уточнение было там. Мои пардоны).
Солярку на спарцовских санях застал. Ничего плохого сказать не могу. С hpux вроде не доводилось. Трехбуквенные мейнфреймы застал.
>Это 2019ю, поди? Да, мне тоже, но пока на 16й застрял. Лицензия, с-ка, дорого :-( Вроде только-только с 12го уродца сползли, и на тебе, опять плати.
Приобретайте лицензию с возможностью апгрейда. Не помню как эта опция называется, давно закупками не занимался. Коллеги подскажут.
Если мне нужен ад, да я поставлю вынь и не стану заморачиваться с самбой+выньбынд.
Если же реальная альтернатива есть, я применю фрю. Если нужен перфоманс бд, пингвина. Вощраст уже не тот, решаем задачи с применением оптимального инструмента.
Но лично мне, уже лет 5 импонирует бсдя. После внедрениях всех эти сигрупс и прочего. Да, я люблю бсд:)
> проанализируем
> емнипАнализ уровня опеннет.
Покажи цифры и источники, или балабол.
>Анализ уровня опеннетСказать то что хотели?
>Покажи цифры и источники, или балабол.
Показываю.
Цифры
https://ru.m.wikipedia.org/wiki/ЦифрыИсточники
http://library.mephi.ru/icb2/glav2.htmlВы прежде мысли формулировать научитесь, иначе недалеким человеком прослыть можно.
Причет тут линукс и убунтовские поделки?
Так в этих псевдо секурных песочницах всего два поделия: от каноникала да от шапки. Емнип. Я эти сорта вообще не трогаю. Вроде еще appimage был. Не знаю, живо ли оно. Сейчас ведь от корпораций и вендоров только самое классное, модное и современное...
Ну appimage в это плане более трезвое решение.
Как тормозит Хромиум в snap-е на arm -- это то, с чего должно начинаться знакомство с snap-ом. А с Flatpak-ом знакомится нужно параллельно с наборами для скрипткидсов под его пакеты.
>Вроде еще appimage был.AppImage себя не позиционирует как секурная песочница, просто как самодостаточный пакет.
> Так в этих псевдо секурных песочницах всего два поделия: от каноникала да от шапки.Так шапка не пихает flatpak в свои дистрибутивы как замену своим rpm. Очень надеюсь и не будет. А snap пихается от того, что некоторые deb пакеты в Ubuntu ставят snap, до рекомендаций ставить не через deb пакет, а через snap того же certbot на сервере. Сами зайдите и посмотрите как предлагают ставить. А между тем есть нормальные deb пакеты.
При том что разница невелика. Что дыры в "убунтовских поделках", что 0-day в ядре линукса.
И там, и так решeто, разница только в blast radius.
Согласен с Вами. Скорбно, но факт. И чем дальше в лес...
Ну ничего, согласно стратегии верховного: rust спасет ситуацию! В том числе за счет привлечения разработчиков более "высокого" уровня. В смысле которые все отдают на откуп вирт машине.
При чем тут раст?
Существует объективная проблема - погромисты пишут говнокод. И кол-во CVE, которые обсуждают в соседней теме, прекрасный этому пример. Причем не какой-то чувак, который пишет очередную "три-в-ряд", а систему на которой половина интернетов и не только крутится. И не нужно кивать что у соседей ситуация не лучше - мой сервак не на винде.А вот как решать эту проблему - большой вопрос. Может больше ресурсов на ревью и тестирование? Может на автоматизированные системы (анализаторы, фаззеры)? Больше ресурсов в обучение? В средства разработки (более "безопасное" подмножество си)?
Совершенно верно! Rust сам по себе здесь не причем. Все дело в том, что большинство современных кадров не могут/не умеют/ не хотят... не хватает знаний/умений/фундаментальности образования/мышления. Потому и пытаются заткнуть эту брешь как могут. В контексте оффтопика раст в ядро воткнуть.Решать проблему? Проблема эта в головах. Пусть на меня пожалуйста не обижаются молодые люди. Я никого не хочу обидеть. Все сказанное происходит не только в ИТ, но абсолютно во всех сферах. Решения проблемы в текущей парадигме системы образования/воспитания/системе ценностной я лично не вижу. Пробовал все доступные методы. Из 10 одно попадание, но при очень больших затратах. В парадигме бизнес задач - это нерентабельно.
Про инвестиции в будущее итд - это все понятно, но зарабатывать нужно и сегодня. А с подгузниками бегать родители должны были. (Утрирую).
Почему такой акцент на возрасте? Как будто в старом коде багов не хватает?
Из практики. Наболело. У всех прошу прощения.
Баги были, есть и будут есть. Вопрос только в том, как их исправлять!
"Существует объективная проблема - "установившийся политико-экономический режим на планете не позволяет части землян не вырастать особенно вороватыми? 😎
Надо, наконец, начать грузить кодеров за их уязвимости. Запорол? Повлекло за собой фин потери? Плати! В следующий раз будут сто раз думать как писать
Почему если у вас сантехник в квартире кран поцарапал - вы с него деньги вычитаете, а с кодера нет? Опять таки это форсирует компании нанимать более квалифицированные кадры
Тут какой момент, если фин потери - это уже косяк тим лида и ПМа.сейчас народ избалованный, за котегов по 800к в мес привыкли иметь. Просто уйдут в другую команду и будут косячить там.
Ну вот и собрать со всех ответственных, согласно мере ответственности. А уйдут - кто их возьмет если у них будет в резюме написано "привлекался за нанесение ущерба в особо крупном размере". Максимум уйдут на работу где ущерба не предусмотрено, а там им и место. К тому же надо ввести административную ответственность, как, собственно, в любом деле. Профессии уже достаточно лет что бы перестать ее идеализировать
Приходит "эффективный менеджЫр", внедряет проект "искаропки" и быстренько сваливает, пока все не вскрылось и не всплыли подводные камни. В резюме имеет отметку, дескать внедрял супер-пупер модную фичу.За субсидиарную фин ответственность я обеими руками за!
Эффективный менеджер не может уязвимости плодить как грибы, такое только модерн-кодерс могут
Еще как может, когда на бедолаг сваливает по 3-4 проекта одновременно и сроки обозначает совершенно неприемлимые. Прежде всего всегда стоит разобраться в первопричине. Или кодер рукопоп, или менеджер совсем берега перепутал. Бывают конечно разные комбинации, но тем не менее не всегда прямая аина кодера.
Хотя про модерновых кодеров, я снова согласен. Но фор грейт джастис, всегда нужно причину досконально понять, прежде чем карать!:)
снап не линукс )
Linux это ядро , а не всякие дырявые снапы.
Имхо от снапа больше проблем чем пользы
Был же AppImage, но нет, давайте его переизобретем.
Это разные вещи. У appimage отсутствует дедубликация библиотек. Все в куче у каждого образа.
> Все в куче у каждого образа.не обязательно
Просветите, как?
https://www.linux.org.ru/forum/general/14283520
А при чём тут Линукс и ядро в комментах если новость о Снап в Бубунте? Мало ли что у них в дефолте на Ubuntu Desktop по умолчанию. Это не как с polkit на той неделе что пробивает все сразу.
Да уже рябит в глазах от зеродеев в линуксе и окружении настолько, что все это стало как-то буднично. Это не есть хорошо.Глобально если, то при том, что вновь отход от kiss и вновь ошибки. Хотя на минуточку это песочница и должна бы защищать от подобных вещей.
Потому что уязвимость вызвана by design работой стандартных механизмов линукса - hard link и temporary dir.
Ага, ещё suid забыл, там тоже можно стать root.Уязвимость вызвана некорректным использованием стандартных механизмов, а не ими самими.
Давайте, расскажите нам ещё что-нибудь про безопасный Rust.
Не, лучше вы расскажите нам что-нибудь про продуманность UNIX APIs.
А что, уже есть/стандартизирована LibStdRust?
С UNIX API всё в порядке.
> С UNIX API всё в порядке.Ага. Вот тебе ссылочка на безопасное создание директории, которым заткнули дыру с тем race-condition в новости:
https://github.com/snapcore/snapd/commit/f3f669d720ed8b0bcb7...
Если API, приводящий к необходимости писать такое -- это "в порядке", то что тогда по-твоему будет "не в порядке"?
растаманам уже Unix API мешает xD
> растаманам уже Unix API мешает xDСудя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться на неё, не создав дыры с эскалацией привилегий.
>> растаманам уже Unix API мешает xD
> Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться
> на неё, не создав дыры с эскалацией привилегий.Где снап на расте? Почему вы опять языками вместо кода работаете?
>>> растаманам уже Unix API мешает xD
>> Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться
>> на неё, не создав дыры с эскалацией привилегий.
> Где снап на расте? Почему вы опять языками вместо кода работаете?Зачем мне снап, у меня cargo есть.
>>>> растаманам уже Unix API мешает xD
>>> Судя по новости, сишникам он мешает. Директорию создать не могут и подмонтироваться
>>> на неё, не создав дыры с эскалацией привилегий.
>> Где снап на расте? Почему вы опять языками вместо кода работаете?
> Зачем мне снап, у меня cargo есть.Точно. Никак не привыкну что растаманам приложения не нужны.
>> создание эксплоита оказалось нетривиальной задачей, так как утилита snap-confine написана на языке Go с использованием приёмов безопасного программирования, имеет защиту на основе профилей AppArmor, производит фильтрацию системных вызовов на основе механизма seccomp и применяет для изоляции пространство имён для монтированияИ не спасло)
А должно было? Если приложение само выдаёт права root то механизмы защиты тут не при чём.
джино? нет
Понятно,Не нужно устанавливать snapd и ubuntu
надеюсь от снап откажутся в итоге, как в свое время от unity.
От юнити зря отказались, это и похоронило десктопную убунту превратив во что имеем.
В чем разница между Юнити в Убунте и Гном в Убунте. Я ещё застал Юнити и не могу найти отличий.
По субъективным ощущениям, Unity быстрее работала на старом железе.
> похоронило десктопную убунтуПреждевременное заявление. Деривативы с Xfce анониму нравятся.
> надеюсь от снап откажутся в итогеМожно это сделать прямо сейчас.
systemctl stop snapd
systemctl disable snapd
apt purge snapd
rm -rf ~/snap
rm -rf /var/snap /var/lib/snapd /var/cache/snapd /usr/lib/snapd
Ну и сиди теперь без Браузера или с устаревшей на год версией если в совсем старой бубунте. Потому что собирать его в операционной системе, а не в снапе с единственно-верными версиями всех библиотек со всего интернета - увы, уже немодно. Гугль не собирается в этом помогать.
Firefox можно просто скачать и запускать из архива. Без всяких снапов, он даже обновляться сам будет. Или подключить PPA и тоже жить без всяких снап. Так что, не надо нам ту навязывать всякую ересь.
Firefox прекрасно работает и обновляется в Xubuntu безо всяких снапов.
Подтверждаю.
Чо это? Яндекс Браузер прекрасно работает в Xubuntu. Кроме шуток.
Яндекс.Товарищ Майор тоже прекрасно работает
> единственно-верными версиями всех библиотек со всего интернета - увы, уже немодно. Гугль не собирается в этом помогать.Можно собрать и поставить библиотеки в home, или если сборка совсем уж кривая то в chroot/docker.
В линуксе проблема - распыление. Распыление на всё что можно. Страдает безопасность.
Но взять к примеру тот же веб-браузер:
над ним трясуться и всё равно peшeтo.
"Обнаружение" уязвимостей в браузере -часть стратегии по принуждению к обновлению и навязыванию ненужной пользователю функциональности. Пользователи склонны ценить больше экономичность чем ненужный функционал и необновлять браузер ради фейковых "преимуществ" новой версии. Поэтому разработчик- бац - и обнаруживает 0-дэй уязвимость... каждый раз когда ему надо впендюрить новую телеметрию юзеру лопоухому...Если бы задача стояла иначе - действительно исключить уязвимости- то стратегия была бы иной. Не добавлять сомнительных функций. Улучшать код. Сокращать потребление ресурсов.
Но такими вещами занимаются только энтузиасты... потому что за это не платят... И все эти фонды ,все эти общестенные организации с многомилионными бэджетами пилящие бабло таких целей перед собой не ставят.
Давно уже понятно, что простой файловый браузер прогрессивнее веб.. во всяком случае потому что он использует системные программы, а это всё же высокая производительность.
> новую телеметриюКоличество именно телеметрии от авторов бразуера в каждой новой версии не увеличивается. Если конечно вы не имеете ввиду под телеметрией новые web технологии, тогда да, согласен.
Куда еще-то увеличивать? Каждое твое движение мышкой и каждая кнопка на клавиатуре записываются и передаются.Доступа к камере они делают вид что у них типа пока нет, он только для веб-странички после сильно специального разрешения.
Нет-нет-нет, сами они на тебя не смотрят, не подумай.
тся
Да нет, они именно> трясуться
Это такая неопределённая форма глагола.
Простите, что вмешиваюсь, я просто мимо проходил. Так-то нас вроде учили пользоваться проверочной формой: "что делают". Если ь знака нет, то и нет.
Но сейчас конечно можеь уже инноваторы и поменяли чего, в великом и могучем...
> В линуксе проблема - распыление. Распыление на всё что можно. Страдает безопасность.Точно. В офтопике всё на достижение единой цели. И безопасность не страдает.
Сами-то верите?
На достижение цели собрать как можно больше телеметрии. Зато безопасность пользователя под конр...не страдает, да.
Не ясен плач. Обнаружили, исправили - стало ещё лучше. Поздравили друг друга, разошлись.
Единственный толковый комментарий, а не шуршание туалетной бумагой.
у, разойтись я тут же согласился. И разошелся, конечно, и расходился.
Забавны конечно рассуждения о квалификации и качестве образования разработчиков от анонимов чей максимум наверняка баш скрипты для мелкой автоматизации, копипаст конфигов nginx или типовых yaml для кубера, да опакечивание готовых программ.
Сам не эксперт но рассуждать о том как плохо пишут сложные системы даже не смотря в их сорцы это таки да уровень рунета.
Это Вы обо мне, надо полагать.
Ну что же, давайте с Вами немного попробуем проанализировать, раз самостоятельно не получилось.>от анонимов чей максимум наверняка баш скрипты
>Сам не эксперт но рассуждать о том как плохо пишут сложные системы даже не смотря в их сорцы это таки да уровень рунета.Для того чтобы быть дегустатором не обязательно быть поваром. Автогонщиком - автопроизводителем итд. Хотя автогонщик в автомобилях разбирается и умеет их использовать.
Понимаете логику?Так же и здесь. Дабы понимать уровень и глубину падения качества ПО, достаточно его эксплуатировать и иметь представление о происходящем в отрасли.
То что Вы описали в Вашей интерпретации - это спектр задач админа. Кто если не админ знает насколько часто падает софт, как часто в нем находят дыры итд.Дорогой коллега, Вы не следуете своей собственной логике.
2 чая этому Анониму.
>Так же и здесь. Дабы понимать уровень и глубину падения качества ПО, достаточно его эксплуатироватьНу, во-первых, "качество" это абстрактный конь в вакууме, а не универсальная, количественно-измеряемая метрика кмк (например, по критерию "работа с драйверами железа да и модулями ядра в целом" ядро линукс мне __лично__ кажется архаичным, "некачественным" продуктом, но найдутся тысячи аргументов против такой оценки, которые вроде бы даже и не без смысла).
Во-вторых, автолюбитель может и должен давать свою __субъективную__ оценку продукта - автомобиля, но не будучи инженером имеющим представление о проектировании и производстве автомобилей, адекватно оценить квалификацию людей причастных к производству оного он очевидно не в состоянии. Вот с ПО ровно тоже самое.
А про админов написал потому что тут в лучшем случае они и обитают, но не тех админов что коммитят в ядро фряхи, а продвинутых пользователей готового ПО (не умаляю, впрочем, их заслуг и способностей).
Поддерживаю. OpenNET - больше про использование и администрирование открытого ПО. Поэтому и рассуждения на уровне нравиться/ненравиться. А портала про разработку открытого ПО как такового нет. Там было бы наоборот - низкая квалификация админов/devops не позволяет прочитать документацию и сделать всё корректно, а не как макаки - тяп-ляп. Да и дело собственно не в рунет, это человеческое.
>Поэтому и рассуждения на уровне нравиться/ненравитьсяВроде обсуждаем на уровне: работает/не работает. Глючит/не глючит. 10 хотфиксов на один баг итд.
>низкая квалификация админов/devops не позволяет прочитать документацию и сделать всё корректно, а не как макаки - тяп-ляп
Собственно здесь соглашусь. Низкая квалификация технических пейсателей не позволяет написать нормальный ман. По стандартам. Низкая квалификация админов, врачей, учителей...
>Да и дело собственно не в рунет, это человеческое.
Дело я думаю в воспитании, ценностях, егэ/зно вот это все.
>адекватно оценить квалификацию людей причастных к производству оного он очевидно не в состоянииЧеловек будучи не специалистом в производстве автомобиля, вполне квалифицированно может понять и адекватно дать оценку щелям в кузове, криво закрученным шурупам, стеклу с трещинами, отсутствию дополнительной защиты на порогах...
И по совокупности наблюдений, даже будучи не специалистом в производстве авто - можеет вполне адекватно прийти к выводу что этот конкретный автомобиль сделали бездарные рукожопы - начиная от разработчиков и заканчивая слесарями...
То же самое и в ПО.. ненадо быть разработчиком чтобы словить крэшдамп...или узнать что ПО насквозь дырявое...
И оценка квалификации разработчиков будет совершенно адекватная..
Аналогия некорректная, как и у анонима выше. Вы пытаетесь критиковать не готовый продукт (машину или программу), а его производственные линии (написание кода). Не инженер не разберётся в тонкостях этих процессов.
Напротив, довольно логическое сравнение. Вы же, напротив, пытаетесь отделить конечный результат труда (автомобиль, программу) от знаний, опыта, инструментов, техпроцессов, используемых программистами, архитекторами, аналитиками (читай сборщиками, конструкторами, инженерами, эффективными менеджерами, прости господи). Если Вы покупаете хлеб, свежий с виду, а придя домой обнаруживаете, что из его мякоти можно лепить лошадок, то разве у Вас недостаточно способностей определить, что что-то в производстве не так и Вас попросту обманули? Конечно, определить, на каком этапе кто-то не придерживаеться технологии (по причине экономии на качестве муки, количестве воды, соли или просто - тяп-ляп и в продакшн)- трудно, если не пройти самому цепочку от закупки муки и прочего до выпуска на линии конечного продукта (имея на руках технологические карты, рецепты и прочее). Нынешние ИТ - это то самое пресловутое тяп-ляп и в продакшн: ну и что, что будет дольше запускаться, ну и что, что софт пожирает больше памяти - она же ведь "дешёвая", ну и что, что утечки памяти, жор на накопителе места, как не в себя, уязвимости, промежуточные слои над слоями и слоями погоняют - зато масса высокоплачиваемых специалистов на любой чих с заоблачными зарплатами: девопсы, дизайнеры, программисты, аналитики, архитекторы, тим-лиды, а инженеров по качеству и отделов тестирования-то - видимо-невидимо... И что в результате? А ничего, просто ничего: квадратное, тормозящее, нечто напичканное телеметрией, неитуитивное нечто."В софте все всрато и становится еще всратее"
https://habr.com/ru/post/596517/
Качество автомобиля способен оценить владелец и автослесарь из автомастерской. Люди которые занимаются эксплуатацией и ремонтом автомобиля. Но нас почему то пытаются убедить в том что люди которые занимаются эксплуатацией и ремонтом ПО не способны оценить его качество.
Иван Иванович, благодарю Вас за развернутый ответ. Был вынужден отлучиться и не мог принять участие в дискуссии. Согласен по всем пунктам.
Про чай, админы, как известно, шоколадки не пьют! Ну, будем!:)Добавлю только одно:
>Нынешние ИТ - это то самое пресловутое тяп-ляп и в продакшн
И нынешняя медицина, ППС. Etc.
Давеча на узи нашли случайно полип желчного. Направили срочно на операцию. Благо сходил мрт сделал, ничего не обнаружено.
Гастроэнтерологи не знают какой орган вырабатывает глюкозу (10год выпуска сеченовки) итд. итп. Примеров устрашающее множество.Я все думаю, что же будет когда "удаленщики" придут. Те кто сейчас на дистантном обучении. И ведь нам в старости придется к ним обращаться...
Иван Иванович, снимаю шляпу. Рад осознавать, что есть еще люди не утратившие рациональность и здравый смысл!
Продукт - ПО могут и должны оценивать потребители - админы. Разработчики продукта не в состоянии адекватно оценить качество своего продукта.
Архаичный не значит плохой, это не синонимы.
Отвечаю Вам и коллеге 5.61, Аноним (60), 11:20, так как суть ответа одна.В абстрактность метрики качества вдаваться не буду, очень емкая тема. Начиная в принципе с определения качества метрик :)
>Во-вторых, автолюбитель может и должен давать свою __субъективную__ оценку продукта - автомобиля, но не будучи инженером имеющим представление о проектировании и производстве автомобилей, адекватно оценить квалификацию людей причастных к производству оного он очевидно не в состоянии. Вот с ПО ровно тоже самое.
Ну что же. Давайте разберем на конкретном примере автомобиля уаз патриот 2019 м.г.
В данном автомобиле с рестайлингом был установлен новый передний мост с поворотными кулаками открытого типа. Данная модернизация была произведена на основании отзывов пользователей для улучшения курсовой устойчивости автомобиля при прямолинейном движении а так же для уменьшения радиуса поворота. Аналогичная конструкция мостов ДАНА успешно применялась более 30 лет на а/м гранд чероки и ленд ровер не вызывая проблем.
На уазе же при пробегах до 15 тыс. км (Особенно при активном преодолении дорог без твердых покрытий, а иначе зачем уаз нужен) конструкция разгерметизируется, вызывая повреждения на сумму 70к руб.
Оценив масштаб бедствия автомобилисты сами разработали и внедрили кит, исправляющий данный фатальный недостаток.Могут ли эти люди "адекватно оценить квалификацию людей причастных к производству оного"? Думаю вполне.
Более того, решение отправлено на завод, тем самым: " будучи инженером имеющим представление о проектировании и производстве автомобилей".Аналогично и про админов. Хотфиксы кто ставит? Багрепорты кто ваяет? (Формализует девелоперам).
Админ не может оценить куртуазность алгоритмов, использование паттернов. (Емли он сам не программист). Но как раз качество, как результат труда, он оценивает даже более, чем простые юзеры. Так как обслуживает бэкграунд.
Такие дела.
Зачем вводить какие-то абстрактные критерии когда есть совершенно простой "потеряли бабки из-за ошибки программиста". Уверен в какой-то момент истории с электриками была такая же проблема, но ничего - разобрались как оценить качество и ущерб
В общем тебе уже объяснили, что качество ПО оценивают как раз те кто это ПО эксплуатирует, а именно админы. Девопсы и родились от туда чтобы разработчиков и админов подружить и заставить ПО работать как надо.
кубер и yaml уже лишние в этом списке, тут ретрограды даже докер не признают
> даже не смотря в их сорцыЯ смотрел сорцы, более того, ошибки связанные с состоянием гонки с качеством исходного кода мало связаны, можно иметь качественный код, написанный по всем правилам, и не понимать что между проверкой владельца файла и его открытием файл может быть пересоздан. Это очевидная проблема обучения автора и его опыта разработки.
> чей максимум наверняка баш скриптымой максимум вообще sh-скрипты.
но я почему-то не стесняюсь вызывать mktemp для
получения непредсказуемых имен файлов.
Скажите, музыку по вашему оценивать имеет право только музыкант?
Ссылки в ФС, гонка за временные папки. Уже оскомину набило. Из года в год.
И главное ничего с этим не пытаются делать.
Ну так сделай, будь первым, покажи лохам кто тут папка!
O_TMPFILE 10 лет назад придумали, просто кто-то не обучается.
- What time is it?
- I don't know..
- Time to unpimp the linux!
* kernel panic *
- Oh, snap!
(кто вспомнил эту рекламу, зачёт автоматом)
Помню только, что хромой выдает страницу "Oh, snap!" когда что-то идет не так.
Зачем snapd работает от root если работает?
Вот именно
Xubuntu. В том году выпил snap из системы. Вчера обновлял пакеты, смотрю - snapd обновляется. Хочу его сразу удалить, а там какие-то файлы ядра в придачу хотят тоже выйти из зала. После перезагрузки, слава Патрику, удалялся только snap. Но каким-то чудом, эта срань проникла в систему опять.
Удалить снап ?
Ты в своем уме ?
Почитай про debian preferences и просто заблокируй snapd
Выше написано, как удалить. Ничего не появляется. Аналогично поступаем с облаком (в серверной версии). Вообще не нужно опасаться удалять ненужное.
Или можно поставить дистрибутив без снапа. Так можно жить, я ни разу в своей жизни не запускал софт из снапа.
Поставил 20. Там снапы. Выпилил. Всё работало и без них. Но вернулся в 18. По другой причине. На 20 забили некоторые производители прикладного ПО, необходимого лично мне. Поэтому ждем 22. Посмотреть.
Поставь минт. Те же 20, но без снапа.
К сожалению... Проблемы с glibc и qt. Не хотелось бы вместо развития приложения заниматься его постоянным переписыванием.
>В том году выпил snap из системы.Пожалуй, за это стоит ещё раз выпить.
Дык а что именно распространяется в снапах? Какой-нибудь ненужный полупродакшен код? Такая дистрибуция уже попахивает.. ;)
Chrome
С чего это вдруг? Только deb и rpm предлагаются.
Значит угадал)
> Дык а что именно распространяется в снапах? Какой-нибудь ненужный полупродакшен код? Такая
> дистрибуция уже попахивает.. ;)Ну смысл в том, чтобы в дистрибутивах распространялось только системное ПО, для разработчиков и рабочий стол. А прикладные приложения (обозреватели, офис, рисовалки, IDE) устанавливались как самодостаточные приложения. С таким раскладом и Debian, с его древним софтом, можно как основу ставить.
Правда опять лебедь рак и щука: snap, flatpack, appimage.
> С таким раскладом и Debian, с его древним софтом, можно как основу ставить... а нужные штуки собрать самому из исходников на гитхабе, почему-то делаю так :)
В 20.04 - Chromium только в снапах. В 22.04 обещают и Firefox туда же послать.
И ладно. На службе - Яндекс. Дома тоже поставил. Немного навязчивый он, но очень быстрый.
Спасибо за рекламу, товарищ майор!
В https://linuxmint.com/ выпилили Снэп. Что большое достоинство.
А вот в этом - https://linuxmint.com/download_lmde.php - ещё и на Дебиан уйти попробовали.Рекомендую. Есть нюансы, но удалось отойти от зряшных выдумок.