A The Linux Foundation bejelentette az Open Source Security Foundation létrejöttét; a Microsoft, GitHub alapító tagként csatlakozott hozzá

Az Open Source Security Foundation (OSSF) célja a nyílt forrású szoftverek biztonságosságának elősegítése, biztonságának javítása. Az alapító tagok közt megtalálható:

  • Eleven Paths
  • GitHub
  • Google
  • hackerone
  • IBM
  • Intel
  • JP Morgan Chase & Co.
  • Microsoft
  • nccgroup
  • okta
  • Red Hat
  • StackHawk
  • Trail of Bits
  • Uber
  • VMware

Bejelentések:

Hozzászólások

Érdekes világ ez... amikor  zárt forráskódot futószalagon gyártó, a security problémáiról hírhedt, az ügyfelei magánéletét sárba tipró, profit orientált cégek  'Open Source Security Foundation' tagja lehetnek...

 

Lehet csak én nem értem mi folyik itt gyönygyösön?

csakhát ez az a szint amikor (számomra) hiteltelenné is válnak kicsit

Csak kicsit? Számomra totál...

Igazság szerint az ilyen dolgok (meg a systemd erőltetése, stb) miatt egy ideje már eldöntöttem, dobom a Linuxot és áttérek Minixre amint annak lesz natív 64 bites verziója (X86_64 architektúrára) és tisztességes USB támogatása. Ez a kettő nekem musthave. Ha ez a kettő oké, a többi gyermekbetegségével már együtt tudok élni.

Nem követem őket napra készen - úgy talán negyedévente ránézek, van-e már új Minix kiadás, vagy valami olyasmi megoldás ami a legutóbbi Minix verzió feltétele után megoldaná ezt a két gondot ami egyelőre visszatart engem a Minixre áttéréstől.

A legutóbbi hír ezzel kapcsolatban az, hogy teljesen valószínűtlen hogy áttérjek a Minixre a közeljövőben — habár szívesen megtenném. Sajnos azonban a Minix közösség úgy döntött hogy (csekélyke...) erőforrásait visszavonja az X86_64 architektúrától, és minden erejét az az olyan kis csipszarokra mint mittudomén a BeagleBone, meg más effélék. Nem tudom konkrétan miért döntöttek így, talán azt hiszik ez olyan terület ahol látványosabb felhasználónövekedést érhetnek el...?!

Márpedig ha nem foglalkoznak az X86_64 architektúrával akkor nyilván nem fog kijönni egyhamar olyan verzió ami natív 64 bites memóriakezelésre képes ott. Az USB-vel kapcsolatban talán lehelletnyit jobb a helyzet mert ha azt megoldják valami kernelmodulszerűséggel a másik architektúrán, talán elképzelhető hogy annak lefordítása az X86_64 -re nem akkora egetverő extra erőfeszítés, és ezt még bevállalják... bár ez csak az én fantáziám mert nem kérdeztem meg őket. Mindenesetre, ez még számomra hihető. De az egész kernel átírása 64 bitesre, az elég valószínűtlen most. Bár nem értem ezt se miért, a Linux esetében elég gyorsan ment az átállás... Na oké, mondjuk ott több volt a humán erőforrás, az biztos...

Szóval egyelőre ők ezt a platformot „pause” üzemmódba tették már egy ideje, ez nekem nem tetszik de mit se tehetek ellene. Sajnálom pedig...

Hát szomorú, főleg hogy 2 éve nincs commit, úgyhogy az arm platformon is megállt a fejlődés.

Más vonal nem érdekel? Vagy még annyira nem érett meg a Linux elhagyása? 

A választék nem túl nagy amúgy, BSD-k felé meg Openindiana felé lehet migrálni, a többi sajna vállalhatatlan kompromisszummal jár. Ha esetleg bepróbálnál más rendszert, szívesen olvasnék a tapasztalataidról, ha van kedved írhatnál a Minixről is bővebben. 

Amilyen szószátyár vagyok, egészen biztosan telespammelem majd a HUP-ot a Minixes tapasztalataimmal - de értelemszerűen csak ha áttértem rá... A fentiek fényében azonban ez egyhamar nem fog bekövetkezni. (tehát nem az én hibámból...). Mert ahhoz ragaszkodom hogy legyen natív 64 bites memóriakezelése, nem akarok mindenféle „kompatibilitási üzemmódokkal” veszkődni... a franc az összes ilyesmibe, ez épp az egyik oka annak hogy elkívánkozom a Linuxtól, mert túl sok itt már a „köztes réteg”, az „abstraction layer”...

Nekem már az se tetszett hogy a Grub1 -et lecserélték Grub2 -re de azt még lenyeltem valahogy. Aztán jött a pulseaudio, aztán a systemd, most amikor már nagyjából kezdem kiismerni az X-et legalább alapfokon hát érik egy Vayland váltás... Tele van a tököm a „fejlődéssel”!

Ez egyébként az egyik oka annak hogy LFS-t használok. Az „én” disztrómban nincs se pulseaudio, se systemd... Grub2 az van, ott lusta voltam...

De tényleg megunja az ember idővel az LFS tákolását is, na. Amíg azonban nincs Minixem, muszáj leszek vele...

Egyszer megpróbáltam egy BSD-t felrakni de becsületesen bevallom már a telepítésnél elakadtam. Nem emlékszem már rá mi volt a gond, annyira nem izgatott, rögtön feladtam az első kudarcnál. Nyilván ha kitartóbb vagyok biztos megoldottam volna idővel... elvégre, a Linux se volt könnyebb az elején amikor zöldfülü voltam, emlékszem rá. De igazából nem sokra mennék a BSDüre váltással az az érzésem. Alapvetően nem sok a különbség úgy „érzésre”. Jó, elismerem, laikus vagyok, de most így gondolom. A Minix más, az mikrokerneles... Csak az a baj hogy lassan készül mint a Luca széke...

Ajánlom, hogy tegyél egy újabb kört a BSD vonallal. Ott van például a NomadBSD. FreeBSD alap, automata hardver detekt és kb minden előre be van állítva. Ismerkedésnek tökéletes. Megtapasztalhatod, hogy mik a hasonlóságok, mik az eltérések, majd később válthatsz sima FreeBSD-re, amit már saját magad állítasz olyanra amilyet akarsz, vagy megnézheted a többi BSD-t.

"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Amennyire tudom, a BSD nem mikrokerneles (ha tévednék, nyugodtan javíts ki). Szóval, „lényegileg” nem lenne a váltás érdemleges a szememben, „ott lent a mélyben”, ha érted mit akarok kifejezni...

Nyilván, ettől még tehetnék egy újabb próbát vele, de most már más célt tűztem ki magam elé. Tudjátok, volt itt az a blogbejegyzésem a fuvolavételről... végül beszereztem egy olcsót, de nálam nem vált be mert nagyon nagy az alsó ajkam, sokkal nagyobb mint a felső. Igazi „négeres”. Ez remek dolog a didgeridoo hangszernél ami van nekem és tudok is azon jól játszani... a fuvolánál azonban kész tragédia!

Sokáig gondolkodtam akkor miféle zeneszerszám lenne jó nekem. Szereztem be egy viszonylag komoly triolát, azon már tudok is egyszerűbb dolgokat eljátszani, de ezzel meg az a bajom hogy nem sok (kb semmi...) lehetőséget ad holmi „effektezésre”, márpedig itt is mint a programozásban meg mindenben, én egyénieskedni akarok, ezt becsületesen bevallom... cifrázni a dallamot meg minden...

Na, végül aztán a dologból az lett hogy rendeltem egy citerát! Egészen pontosan egy ilyet:

https://www.ebay.com/itm/Combined-Prime-and-Tenor-Zither-citera-for-col…

Amennyire meg tudom ítélni, ez a létező legkomolyabb fajta... bár ezt némi óvatossággal kell kijelentenem mert a citerák közt rém nagyok az eltérések, majdnem olyanok mint a fénykard amit minden jedi maga csinál magának...

Még nem vagyok a hangszer birtokában, úgy szeptember közepe körül fog csak megérkezni, de már nagyon várom. Itt nem lehet akadály hogy olyan irtó hatalmas az alsó ajkam... elvégre nekem is van két kezem mint mindenki másnak...

Igaz, én mint Aspie kifejezetten ügyetlen voltam mindig mindenben ami párhuzamos odafigyelést igényelt egyszerre több dologra, tehát az ilyen dolgokban is hogy egyszerre két kézzel kell játszani. De ez akkor is csak gyakorlás kérdése, a kezeimet elvégre az agyam irányítja, az agy meg nem más mint egy „tanulógép”... Esélyes hogy nekem sokkal több időmbe telik majd ez mint másnak, de akkor is csak gyakorlás kérdése. Aztán meg itt nem ugyanazt kell csinálni mindkét kézzel, úgy értem nem a dallamot kell játssza mindkét kéz... Na majd meglátjuk.

Szóval tudom ez erősen off volt, csak azt akartam kifejteni, nem lesz nekem időm a BSD-vel foglalkozni, mert helyette a múzsák csókját kell kiérdemelnem zenei téren... Ha kijönne eghy új Minix verzió amiben orvosolva vannak a fentebb elpanaszolt gondjaim, azzal azért azt hiszem tennék egy próbát. De kevesebbért nem hiszem hogy feladnám ezt a zenei kalandomat. Nekem tényleg régi gyerekkori vágyam hogy valami zeneszerszámban profi legyek, vagy, legyünk szerényebbek: „Jól felkészült amatőr”. Szóval valami olyasmi mint most vagyok a programozásban: nem igazán profi, de jaj de sokan megirigyelnék a tudásomat (ha nem is az egészét de bizonyos részterületeit) még a „kezdő profik” közül is!

Ilyesmit szeretnék elérni a zenében is. Nem akarok én fellépni sehol, csak a magam örömére, vagy esetleg a barátaim szűk körében...

Eddig nem volt lehetőségem erre se pénzügyileg, se idő hiányában, illetve amikor lett volna valami más mindig jobban érdekelt. Most azonban úgy érzem eljött az idő...

Szóval bocs de nagyon attól tartok a BSD kimarad az életemből.

A GPL licecnce pont olyan, mint az Egy gyűrű... Bilincsbe zár! A GPL-ből nincs menekvés. A BSD és MIT licencek sokkal szabadabbak, mert nincs megkötés, hogy a fork kódját ki kell adnod, vagy ha ki is akarod adni, akkor is a saját kódrészleteidnek olyan licencet adsz amit akarsz, nem úgy mint GPL esetén, hogy csak GPL kódot tartalmazhat.

"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Tanenbaum és csapata kapott egy 2.5M EUR támogatást arra, hogy a MINIX-et fejlessze:

https://blog.minix3.org/2008/11/01/we-get-eu-2-5-million-grant/

Ebből lett a MINIX 3 jelenlegi állapota.

Ez a grant leírása:

https://cordis.europa.eu/project/id/227874

2014-ben ért véget a projekt, 6 éve, azóta a MINIX 3 tetszhalott állapotban van.

Volt egy "second developer ISO" kiadás 2014-ben ( https://blog.minix3.org/2014/09/02/3-3-0-second-developer-iso/ ), egy MINIXcon 2016-ban ( több, mint 50 résztvevővel, https://blog.minix3.org/2016/03/10/minixcon-2016-videos-are-now-online/ ) és azóta (4 éve) 0 kommunikáció, semmi hír, semmi előadás.

Ennyi volt.

Őőő... Szerintem itt valami nincs rendben. A 3.3.0 az ki is jött azután, a blog után, amit linkeltél 2014 november 19.-ei megjelenéssel.

A 3.4, aminek 2017-ben volt az utolsó "teszt" verziója, az RC6. Azóta nincs újabb kiadás. Tehát ne csak az oldalon szereplő hírekből tájékozódjunk.

"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Minden zárt-forrású termék tartalmaz töménytelen mennyiségű nyílt forrású külső komponenest és ezek biztonsága a saját biztonságuk, mert a fizetős szoftverért Ők vállalják a felelősséget.

Pl Cisco és minden VPN kliens / szerver:

This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit:
http://www.openssl.org

Vagy pl az Arcserve UDP 93 nyílt vagy zárt kódú külső komponenst tartalmaz amik a termék szerves részei.

Nekik az open-source szoftverplatformok ún. komplementer termékek, szükségük van rá, hogy a saját szoftvereiket tudják futtatni és szolgáltatást adni. Ami már zárt és fizetős.

És emiatt támogatják ezt.

https://www.joelonsoftware.com/2002/06/12/strategy-letter-v/

Smart companies try to commoditize their products’ complements.

Támogassák, oké: Ha felfedeznek benne hibát, küldjék be errorreportként. De hogy elfogadni egy ilyen céget hivatalosan, tagként, sőt ALAPÍTÓ tagként...?!

Hányingerem van, komolyan mondom... Ez úgy hangzik a fülemnek, ez a sztori, mintha egy addig szent életéért tisztelt apácáról kiderülne hogy leszopta a kampósfaszú kanördögöt csak azért, hogy az néhány centet méltóztasson bedobni a templomi perselybe adományképpen...

Akkor ne javítsák, és ne küldjenek be errorreportot. Még jobban is örülnék ennek. Semmi közük a Linuxhoz, általában a szabad szoftverekhez, az a véleményem. El a kezekkel tőle! Megszentségtelenítik!

Megleszünk az ő „segítségük” nélkül is. Menjenek a fészkes fenébe, ez a nyers és őszinte véleményem! Ilyen cégeknek mint a Microsoft, nem lenne szabad megengedni hogy BÁRMI közük is legyen a nyílt forráshoz!

inkább fűtenének rendesen ebben az irodában

Szerkesztve: 2020. 08. 05., sze – 12:51

Az Apple és a Facebook nincs benne. Kiváló. Az IBM pedig két céggel is benne van.

Hiba van a cikk nyitányában. Ott az szerepel az alapító tagok közt, hogy:

Microsoft

Helyesen:

Trójai Faló

Kéretik javítani...

Számtalanszor hallottam ezt a hülyeséget, igen, a szememben hülyeség, mert megkérdezem: szerinted ez ELLENTÉTELEZI és komnolyan azt a sok KÁRT, amit a nyílt forrás eszméje ellen elkövetett az évtizedek során?!

(Például a nevetséges szabadalmai, a patent trollkodás, zsarolások, FUD-ok, stb).

Nota bene, ha éntőlem függne a dolog, egyszerűen nem lettem volna elfogadni SEMMIT a Mikrofostól, nemhogy pénzt, de még KÜDOT és JAVÍTÁST se!

Akkor se ha jó a javítás. SEMMIT. Abszolúte semmit.

Úgyse hiszem el hogy nem a maga érdekében dolgozik valahogyan.

Mi lesz így a cél? backdoor-ok beépítése feltűnés nélkül?

Így használjál nyílt forrású programokat. Mert az mennyivel megbízhatóbb, hiszen áttekinthető a forráskódjuk. Aztán persze át is tekintik. Pénzért, teljes munkaidőben a Microsoft alkalmazottak. Kissé nevetséges. Trump ezt nem akarja betiltani? Ja nem, inkább adott rá dodót :D - Persze ez már csak súlyos konspirácó.

Látom, azért ott van a  "Don't be evil" céG is. 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Aztán persze át is tekintik. Pénzért, teljes munkaidőben a Microsoft alkalmazottak.

Itt amúgy mire gondoltál? A Githubon az open source projektekbe az összes cég közül pont a Google és Microsoft tolták be a legtöbb commitot adta a legtöbb contributort. A Microsoftnál ráadásul annyi fizetett alkalmazott dolgozott ilyen projekteken, mint a Redhat + Google együtt. Szóval ja, pénzért, teljes munkaidőben. De mivel open source, így nyilvános a git history, meg lehet nézni, került-e bele malicious kód. #manyeyeballs

Jó is a manyeyeballs ha source olvasgatásról van szó... De ne feledjük el, hogy ami a source-ben van, nem biztos, hogy az fut nálad. Kedvenc cikkem a témában: https://medium.com/hackernoon/im-harvesting-credit-card-numbers-and-pas…

"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

"De ne feledjük el, hogy ami a source-ben van, nem biztos, hogy az fut nálad." - Tessék LFS-t használni, és természetesen az utolsó betűig átnézni az összes forráskódot, scriptet, meg úgy mindent _is_, amit a build-hez használsz. :-P Persze ezt még tetézd azzal, hogy az összes firmware-t _is_ saját kicsi kacsóddal fordítod és töltöd fel a megfelelő hardverkomponensbe, sőt nem is: a chipeket is te állítod elő az általad átvizsgált struktúrával (maszkok). :-D