Благодаря проекту Alpha-Omega в рамках OpenSSF, улучшится безопасность 10000 проектов под свободной лицензией

Harald, эта новость идеальна почти всем! Оцени по братски?

маркдаун, азаза )

а там нет разметки

Не обижайся, он просто забыл, торопился

Благодаря проекту Alpha-Omega в рамках OpenSSF, улучшится безопасность 10000 проектов под свободной лицензией

Ещё бы написал: «Пользователям ЛОРа улучшат безопасность ПО» 🤣 (как в районных и региональных газетах).

Alpha, часть проекта, ориентируется на ведение ручного аудита 200 популярных проектов с открытым кодом

Откуда инфа про 200?

По ссылке в таблице 104 https://docs.google.com/spreadsheets/u/0/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6o...

Последний проект в списке забавляет) Видимо, докинули в последний момент

По итогам проекта наконец-то выкинут systemd, как систему набор уязвимостей не поддающихся исправлению.

И добавят ntldr

svchost.exe

«Безопасность кода» «Корпорации Google и Microsoft предоставили»

Ясно, понятно. Дальше можно не читать.

По ссылке в таблице 104 https://docs.google.com/spreadsheets/u/0/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6o…

По листал список.

cmake, meson, autotools

Зачем их аудитать? Кто и как может воспользоваться уязвимостью там? В сети они не торчат, под рутом их обычно не гоняют

isArray, inherits

вот их исходный код:

var toString = {}.toString;

module.exports = Array.isArray || function (arr) {
  return toString.call(arr) === '[object Array]';
};

try {
  var util = require('util');
  /* istanbul ignore next */
  if (typeof util.inherits !== 'function') throw '';
  module.exports = util.inherits;
} catch (e) {
  /* istanbul ignore next */
  module.exports = require('./inherits_browser.js');
}

и ЭТО - пакеты критической важности, аудит которых планируют провести. Думаю чтоб провести этот самый аудит уйдет меньше времени чем ушло на добавление их в список

И добавят одну уязвимость. Набор баш-портянок считается за одну ведь?

Нужно больше безопасности, а то все еще как-то опасно. Как же хорошо, что о безопасности опенсорца заботятся компании Google и Microsoft.

разработка инструментов для обеспечения безопасной безопасности, публикация лучших практик по безопасной организации безопасности, выявление опасных связанных с безопасностью небезопасностей в открытом ПО, проведение работы по аудиту и усилению безопасности критически опасных ЕХАЛ ГИТЛЕР БЕЗОПАСНОСТЬ

безопасностьманяя какая-то

но почему они до сих пор не установили план переписать весь тупой сишный кал на божественном расте?

10000 проектов мало, надо ещё пару ноликов накинуть!

Щито поделать, корпорации шарят в безопасности больше, чем линуксоиды

А ты не путай свою собственную линуксовую безопасность, с корпоративной.

Очевидно же - потому что тогда всё будет безопасным и надо будет снова придумывать как пилить бюджеты и отмывать уже полученные.

а у нас будет отечественный раст? а то стремно на вражеском бюджет пилить.

Корпорации Google и Microsoft предоставили

Ну а чо, Гугл использует массу опенсорс кода, и не хочет, чтобы его инфраструктуру шатали через дыры в нем. Поэтому ему выгодно, чтобы за умеренную плату энтузиасты пофиксили дыры в опенсорсе.

Будет, все будет.

Хмм, даже nixpkgs есть.

Ещё бы написал: «Пользователям ЛОРа улучшат безопасность ПО» 🤣 (как в районных и региональных газетах).

типа того. а еще можно начать с «Корпорации Google и Microsoft предоставили средства...»

OpenSSF создан под эгидой организации Linux Foundation

Linux Foundation — это не про Linux

Корпорации Google и Microsoft предоставили средства на развитие проекта

Потому что противоречит Вашему религиозному мировоззрению?

Пусть на Ada всё переписывают.

Ты не туда воюешь 😁

Опять весна, опять надежда! 🤣

В СПОшечку донатят, а они нос воротят, 😛

Мне заголовок тоже не очень понравился. Сколько же ванг, раздающих обещания в будущем времени. И если в проплаченной рекламе это ещё можно понять, то здесь просто смешно.

«Проект Alpha-Omega нацелен на повышение безопасности программ с открытым кодом» — вот так было бы спокойно и с достоинством.

Что касается Google и Microsoft…

Спонсировать сознательное внесение дыр они, конечно, не будут, это слишком уж явное палево. Всплывёт — не отмоются.

Но теоретически они вполне могут влиять на список исследуемых проектов, чтобы не трогать уязвимости в программах, конкурирующих с их собственными и получать таким образом конкурентное преимущество. Это не паранойя, это бизнес. И это очень трудно проверяемая теория, даже если проанализировать список проверяемых проектов.

А с третьей стороны — пусть будет, кому-то возможно поможет. И никто не запрещает сообществу организовать аналогичную работу параллельно. А если сообщество не осилит — то так ему и надо. А ещё заинтересованные люди могут попробовать внедриться в этот проект и проверить, насколько там приветствуется самодеятельность… :)))

зачем им вносить дыры, если они будут использовать эти проекты для EEE? линукс всего лишь становится более корпоративным (частью корпоративного продукта) и, когда ты ратуешь за расширение линуксовой юзербазы, ты поддерживаешь корпорации и юзеров, которые не видят разницы между линуксом и виндой.

В принципе хуже от этого не кому не станет

когда ты ратуешь за расширение линуксовой юзербазы, ты поддерживаешь корпорации и юзеров, которые не видят разницы между линуксом и виндой.

За расширение до виндовых масштабов я и не ратую, если отберёт у винды столько же, сколько отобрала макось — этого будет вполне достаточно, чтобы производители железа не смогли игнорировать линукс безнаказанно для своего кошелька. Think different but different, так сказать.

он не отберет у макоси напрямую. винда отберет у макоси процент за счет встроенного WSL. а производители железа будут считаться с _андроид_. это и означает «часть корпоративного продукта».

Think different but different

я выше привел тебе ссылку на юзербейз. они хотят казаться, а не быть дифферент по сути.

В число компаний-учредителей OpenSSF входят Google, Microsoft, Amazon, Cisco, Dell Technologies, Ericsson, Facebook, Fidelity, GitHub, IBM, Intel, JPMorgan Chase, Morgan Stanley, Oracle, Red Hat, Snyk и VMware

Ну, думаю получится у них

выше я забыл добавить имхо.

Почти что Omegaα

не дождётесь

А у корпораций информационная безопасность работает как то иначе?

выше я забыл добавить имхо

А это и не требуется. Всё что ты пишешь, по умолчанию считается твоим личным мнением, если не сказано иное.

производители железа будут считаться с андроид

Как бы у андроида и линукса не много разные области применения. И считаться с андроидом производителям десктоп железа нах не сдалось И наоборот.

Понимаешь, ты думаешь что корпорации это обычные люди, такие же как ты или я. Что у них тоже кровь, кости, мясо, все такое. Но это не так. Корпорации - это изобретения самого злого зла. Не того, что противоположность добру, нет, а того, где добра в принципе не существует. У них вместо крови зловонная жижа. Вместо мыслей у них какашки. Их единственные цели - защитить себя и уничтожить нас.

Это если кратко.

вот именно. это я и хотел сказать.

Я тут на днях глянул удаленно через тимвивер на ноут с виндой. Там винда теперь от андроида по первым ощущениями уже ничем не отличается. По крайней мере внешне. И кстати! Они реально впихнули в десктопную винду терминал основной опцией!

Кстати, добавь в свой профиль

НЕ ТОТ БОРОДАЧ

You serious?

это понятно. я просто уже писал хоббиту об этом, не хочется заклиниваться.

эта новость идеальна почти всем!

Заглавие новости звучит как дешевая реклама.

Реклама на ЛОР она дешевая, так как за 0 рублей, так как мы любим, вывод: дешевая реклама == хорошо