- Eleven Paths
- GitHub
- hackerone
- IBM
- Intel
- JP Morgan Chase & Co.
- Microsoft
- nccgroup
- okta
- Red Hat
- StackHawk
- Trail of Bits
- Uber
- VMware
GitHub is joining the @LinuxFoundation Open Source Security Foundation. This is a great next step in the evolution of the Open Source Security Coalition, and we couldn’t be more excited about the future of open source software. Read more at https://t.co/JbTgELGKoV
— GitHub (@github) August 3, 2020
Excited to announce the creation of the Open Source Security Foundation with Microsoft as a founding member: https://t.co/pCPCOpolY8
— Mark Russinovich (@markrussinovich) August 3, 2020
Bejelentések:
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Érdekes világ ez... amikor zárt forráskódot futószalagon gyártó, a security problémáiról hírhedt, az ügyfelei magánéletét sárba tipró, profit orientált cégek 'Open Source Security Foundation' tagja lehetnek...
Lehet csak én nem értem mi folyik itt gyönygyösön?
- A hozzászóláshoz be kell jelentkezni
gondolom bárki csatlakozhat aki befizeti a tagdíjat. utána meg lehet remélni, hogy a pénzt valóban az alapítvány céljára költik el.
- A hozzászóláshoz be kell jelentkezni
Nyílt forrást is gyártanak többnyire, illetve 3rd party kódokat fel is használnak, tehát nem nehéz látni, miért jó ez nekik.
- A hozzászóláshoz be kell jelentkezni
jó, hát a kérdés része nyilván költői volt... tudjuk a pénz az nagyon kell mindenhová, csakhát ez az a szint amikor (számomra) hiteltelenné is válnak kicsit, hogy pénzért mindenki vehet 'Open Source Security Hero' kitűzőt ;)
- A hozzászóláshoz be kell jelentkezni
csakhát ez az a szint amikor (számomra) hiteltelenné is válnak kicsit
Csak kicsit? Számomra totál...
Igazság szerint az ilyen dolgok (meg a systemd erőltetése, stb) miatt egy ideje már eldöntöttem, dobom a Linuxot és áttérek Minixre amint annak lesz natív 64 bites verziója (X86_64 architektúrára) és tisztességes USB támogatása. Ez a kettő nekem musthave. Ha ez a kettő oké, a többi gyermekbetegségével már együtt tudok élni.
- A hozzászóláshoz be kell jelentkezni
Miért pont Minix?
- A hozzászóláshoz be kell jelentkezni
Mert rokonszenves a számomra a mikrokernel-koncepció.
- A hozzászóláshoz be kell jelentkezni
Értem. Amúgy ránéztem a Minix repora, majd 2 éve nincs commit, tudsz róluk valamit? Követed mi van a házuk táján?
- A hozzászóláshoz be kell jelentkezni
Nem követem őket napra készen - úgy talán negyedévente ránézek, van-e már új Minix kiadás, vagy valami olyasmi megoldás ami a legutóbbi Minix verzió feltétele után megoldaná ezt a két gondot ami egyelőre visszatart engem a Minixre áttéréstől.
A legutóbbi hír ezzel kapcsolatban az, hogy teljesen valószínűtlen hogy áttérjek a Minixre a közeljövőben — habár szívesen megtenném. Sajnos azonban a Minix közösség úgy döntött hogy (csekélyke...) erőforrásait visszavonja az X86_64 architektúrától, és minden erejét az az olyan kis csipszarokra mint mittudomén a BeagleBone, meg más effélék. Nem tudom konkrétan miért döntöttek így, talán azt hiszik ez olyan terület ahol látványosabb felhasználónövekedést érhetnek el...?!
Márpedig ha nem foglalkoznak az X86_64 architektúrával akkor nyilván nem fog kijönni egyhamar olyan verzió ami natív 64 bites memóriakezelésre képes ott. Az USB-vel kapcsolatban talán lehelletnyit jobb a helyzet mert ha azt megoldják valami kernelmodulszerűséggel a másik architektúrán, talán elképzelhető hogy annak lefordítása az X86_64 -re nem akkora egetverő extra erőfeszítés, és ezt még bevállalják... bár ez csak az én fantáziám mert nem kérdeztem meg őket. Mindenesetre, ez még számomra hihető. De az egész kernel átírása 64 bitesre, az elég valószínűtlen most. Bár nem értem ezt se miért, a Linux esetében elég gyorsan ment az átállás... Na oké, mondjuk ott több volt a humán erőforrás, az biztos...
Szóval egyelőre ők ezt a platformot „pause” üzemmódba tették már egy ideje, ez nekem nem tetszik de mit se tehetek ellene. Sajnálom pedig...
- A hozzászóláshoz be kell jelentkezni
Hát szomorú, főleg hogy 2 éve nincs commit, úgyhogy az arm platformon is megállt a fejlődés.
Más vonal nem érdekel? Vagy még annyira nem érett meg a Linux elhagyása?
A választék nem túl nagy amúgy, BSD-k felé meg Openindiana felé lehet migrálni, a többi sajna vállalhatatlan kompromisszummal jár. Ha esetleg bepróbálnál más rendszert, szívesen olvasnék a tapasztalataidról, ha van kedved írhatnál a Minixről is bővebben.
- A hozzászóláshoz be kell jelentkezni
Amilyen szószátyár vagyok, egészen biztosan telespammelem majd a HUP-ot a Minixes tapasztalataimmal - de értelemszerűen csak ha áttértem rá... A fentiek fényében azonban ez egyhamar nem fog bekövetkezni. (tehát nem az én hibámból...). Mert ahhoz ragaszkodom hogy legyen natív 64 bites memóriakezelése, nem akarok mindenféle „kompatibilitási üzemmódokkal” veszkődni... a franc az összes ilyesmibe, ez épp az egyik oka annak hogy elkívánkozom a Linuxtól, mert túl sok itt már a „köztes réteg”, az „abstraction layer”...
Nekem már az se tetszett hogy a Grub1 -et lecserélték Grub2 -re de azt még lenyeltem valahogy. Aztán jött a pulseaudio, aztán a systemd, most amikor már nagyjából kezdem kiismerni az X-et legalább alapfokon hát érik egy Vayland váltás... Tele van a tököm a „fejlődéssel”!
Ez egyébként az egyik oka annak hogy LFS-t használok. Az „én” disztrómban nincs se pulseaudio, se systemd... Grub2 az van, ott lusta voltam...
De tényleg megunja az ember idővel az LFS tákolását is, na. Amíg azonban nincs Minixem, muszáj leszek vele...
Egyszer megpróbáltam egy BSD-t felrakni de becsületesen bevallom már a telepítésnél elakadtam. Nem emlékszem már rá mi volt a gond, annyira nem izgatott, rögtön feladtam az első kudarcnál. Nyilván ha kitartóbb vagyok biztos megoldottam volna idővel... elvégre, a Linux se volt könnyebb az elején amikor zöldfülü voltam, emlékszem rá. De igazából nem sokra mennék a BSDüre váltással az az érzésem. Alapvetően nem sok a különbség úgy „érzésre”. Jó, elismerem, laikus vagyok, de most így gondolom. A Minix más, az mikrokerneles... Csak az a baj hogy lassan készül mint a Luca széke...
- A hozzászóláshoz be kell jelentkezni
Ajánlom, hogy tegyél egy újabb kört a BSD vonallal. Ott van például a NomadBSD. FreeBSD alap, automata hardver detekt és kb minden előre be van állítva. Ismerkedésnek tökéletes. Megtapasztalhatod, hogy mik a hasonlóságok, mik az eltérések, majd később válthatsz sima FreeBSD-re, amit már saját magad állítasz olyanra amilyet akarsz, vagy megnézheted a többi BSD-t.
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
Amennyire tudom, a BSD nem mikrokerneles (ha tévednék, nyugodtan javíts ki). Szóval, „lényegileg” nem lenne a váltás érdemleges a szememben, „ott lent a mélyben”, ha érted mit akarok kifejezni...
Nyilván, ettől még tehetnék egy újabb próbát vele, de most már más célt tűztem ki magam elé. Tudjátok, volt itt az a blogbejegyzésem a fuvolavételről... végül beszereztem egy olcsót, de nálam nem vált be mert nagyon nagy az alsó ajkam, sokkal nagyobb mint a felső. Igazi „négeres”. Ez remek dolog a didgeridoo hangszernél ami van nekem és tudok is azon jól játszani... a fuvolánál azonban kész tragédia!
Sokáig gondolkodtam akkor miféle zeneszerszám lenne jó nekem. Szereztem be egy viszonylag komoly triolát, azon már tudok is egyszerűbb dolgokat eljátszani, de ezzel meg az a bajom hogy nem sok (kb semmi...) lehetőséget ad holmi „effektezésre”, márpedig itt is mint a programozásban meg mindenben, én egyénieskedni akarok, ezt becsületesen bevallom... cifrázni a dallamot meg minden...
Na, végül aztán a dologból az lett hogy rendeltem egy citerát! Egészen pontosan egy ilyet:
https://www.ebay.com/itm/Combined-Prime-and-Tenor-Zither-citera-for-col…
Amennyire meg tudom ítélni, ez a létező legkomolyabb fajta... bár ezt némi óvatossággal kell kijelentenem mert a citerák közt rém nagyok az eltérések, majdnem olyanok mint a fénykard amit minden jedi maga csinál magának...
Még nem vagyok a hangszer birtokában, úgy szeptember közepe körül fog csak megérkezni, de már nagyon várom. Itt nem lehet akadály hogy olyan irtó hatalmas az alsó ajkam... elvégre nekem is van két kezem mint mindenki másnak...
Igaz, én mint Aspie kifejezetten ügyetlen voltam mindig mindenben ami párhuzamos odafigyelést igényelt egyszerre több dologra, tehát az ilyen dolgokban is hogy egyszerre két kézzel kell játszani. De ez akkor is csak gyakorlás kérdése, a kezeimet elvégre az agyam irányítja, az agy meg nem más mint egy „tanulógép”... Esélyes hogy nekem sokkal több időmbe telik majd ez mint másnak, de akkor is csak gyakorlás kérdése. Aztán meg itt nem ugyanazt kell csinálni mindkét kézzel, úgy értem nem a dallamot kell játssza mindkét kéz... Na majd meglátjuk.
Szóval tudom ez erősen off volt, csak azt akartam kifejteni, nem lesz nekem időm a BSD-vel foglalkozni, mert helyette a múzsák csókját kell kiérdemelnem zenei téren... Ha kijönne eghy új Minix verzió amiben orvosolva vannak a fentebb elpanaszolt gondjaim, azzal azért azt hiszem tennék egy próbát. De kevesebbért nem hiszem hogy feladnám ezt a zenei kalandomat. Nekem tényleg régi gyerekkori vágyam hogy valami zeneszerszámban profi legyek, vagy, legyünk szerényebbek: „Jól felkészült amatőr”. Szóval valami olyasmi mint most vagyok a programozásban: nem igazán profi, de jaj de sokan megirigyelnék a tudásomat (ha nem is az egészét de bizonyos részterületeit) még a „kezdő profik” közül is!
Ilyesmit szeretnék elérni a zenében is. Nem akarok én fellépni sehol, csak a magam örömére, vagy esetleg a barátaim szűk körében...
Eddig nem volt lehetőségem erre se pénzügyileg, se idő hiányában, illetve amikor lett volna valami más mindig jobban érdekelt. Most azonban úgy érzem eljött az idő...
Szóval bocs de nagyon attól tartok a BSD kimarad az életemből.
- A hozzászóláshoz be kell jelentkezni
Akkor miért nem Hurd? Az rendes GNU projekt, GPL licenccel.
A MINIX licence nem ennyire szabad, az BSD licencű.
De van sok más mikrokernel operációs rendszer, miért pont a MINIX?
- A hozzászóláshoz be kell jelentkezni
A BSD licenc szabadabb mint a GPL, mert ott szabad bezárnod is a kódot 😎
A Hurdról van tapasztalatod?
- A hozzászóláshoz be kell jelentkezni
A GPL licecnce pont olyan, mint az Egy gyűrű... Bilincsbe zár! A GPL-ből nincs menekvés. A BSD és MIT licencek sokkal szabadabbak, mert nincs megkötés, hogy a fork kódját ki kell adnod, vagy ha ki is akarod adni, akkor is a saját kódrészleteidnek olyan licencet adsz amit akarsz, nem úgy mint GPL esetén, hogy csak GPL kódot tartalmazhat.
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
Szerintem a Hurd olyan szinten sincs kész mint a Minix...
Sőt szerintem még annyi leírás, doksi sincs hozzá.
- A hozzászóláshoz be kell jelentkezni
A Hurd aktívan fejlesztődik, a MINIX, mióta lejárt az EU pályázat, amiből a MINIX 3-mat ciniálták, nem fejlődik semennyit.
- A hozzászóláshoz be kell jelentkezni
lejárt az EU pályázat, amiből a MINIX 3-mat ciniálták
^ EU technológiai versenyképességi törekvése at its best
Remélem, ez most valami inside joke volt, amit nem ismerek.
- A hozzászóláshoz be kell jelentkezni
Tanenbaum és csapata kapott egy 2.5M EUR támogatást arra, hogy a MINIX-et fejlessze:
https://blog.minix3.org/2008/11/01/we-get-eu-2-5-million-grant/
Ebből lett a MINIX 3 jelenlegi állapota.
Ez a grant leírása:
https://cordis.europa.eu/project/id/227874
2014-ben ért véget a projekt, 6 éve, azóta a MINIX 3 tetszhalott állapotban van.
Volt egy "second developer ISO" kiadás 2014-ben ( https://blog.minix3.org/2014/09/02/3-3-0-second-developer-iso/ ), egy MINIXcon 2016-ban ( több, mint 50 résztvevővel, https://blog.minix3.org/2016/03/10/minixcon-2016-videos-are-now-online/ ) és azóta (4 éve) 0 kommunikáció, semmi hír, semmi előadás.
Ennyi volt.
- A hozzászóláshoz be kell jelentkezni
Őőő... Szerintem itt valami nincs rendben. A 3.3.0 az ki is jött azután, a blog után, amit linkeltél 2014 november 19.-ei megjelenéssel.
A 3.4, aminek 2017-ben volt az utolsó "teszt" verziója, az RC6. Azóta nincs újabb kiadás. Tehát ne csak az oldalon szereplő hírekből tájékozódjunk.
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
Nehogy véletlen egy használt nyílt forrású komponensen keresztül más is hozzáférhessen azokhoz adatokhoz, amit ők is gyűjtenek. Végén még konkurencia lenne az adat bizniszben...
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
Minden zárt-forrású termék tartalmaz töménytelen mennyiségű nyílt forrású külső komponenest és ezek biztonsága a saját biztonságuk, mert a fizetős szoftverért Ők vállalják a felelősséget.
Pl Cisco és minden VPN kliens / szerver:
This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit:
http://www.openssl.org
Vagy pl az Arcserve UDP 93 nyílt vagy zárt kódú külső komponenst tartalmaz amik a termék szerves részei.
- A hozzászóláshoz be kell jelentkezni
Nekik az open-source szoftverplatformok ún. komplementer termékek, szükségük van rá, hogy a saját szoftvereiket tudják futtatni és szolgáltatást adni. Ami már zárt és fizetős.
És emiatt támogatják ezt.
https://www.joelonsoftware.com/2002/06/12/strategy-letter-v/
Smart companies try to commoditize their products’ complements.
- A hozzászóláshoz be kell jelentkezni
Támogassák, oké: Ha felfedeznek benne hibát, küldjék be errorreportként. De hogy elfogadni egy ilyen céget hivatalosan, tagként, sőt ALAPÍTÓ tagként...?!
Hányingerem van, komolyan mondom... Ez úgy hangzik a fülemnek, ez a sztori, mintha egy addig szent életéért tisztelt apácáról kiderülne hogy leszopta a kampósfaszú kanördögöt csak azért, hogy az néhány centet méltóztasson bedobni a templomi perselybe adományképpen...
- A hozzászóláshoz be kell jelentkezni
Szerinted akik javítják azokat bugokat, azok hol dolgoznak?
- A hozzászóláshoz be kell jelentkezni
Akkor ne javítsák, és ne küldjenek be errorreportot. Még jobban is örülnék ennek. Semmi közük a Linuxhoz, általában a szabad szoftverekhez, az a véleményem. El a kezekkel tőle! Megszentségtelenítik!
Megleszünk az ő „segítségük” nélkül is. Menjenek a fészkes fenébe, ez a nyers és őszinte véleményem! Ilyen cégeknek mint a Microsoft, nem lenne szabad megengedni hogy BÁRMI közük is legyen a nyílt forráshoz!
- A hozzászóláshoz be kell jelentkezni
"nem lenne szabad megengedni hogy"
És a szeplősöknek?
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Váratlanul jó és releváns kontent. :)
- A hozzászóláshoz be kell jelentkezni
Váratlanul? Attól tartok, Safranek, hogy maga gúnyolódik velem. ;)
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
:D
Pedig nem, csak már elővigyázatos vagyok a hardoldking vs Microsoft threadekben. :)
- A hozzászóláshoz be kell jelentkezni
A szabad szoftver attól szabad, hogy bárki, aki akar, hozzájárulhat a fejlesztéséhez. Korlátozni akarod a szabad szoftver szabadságát? Ne légy hülye!
- A hozzászóláshoz be kell jelentkezni
Nekem is pont ez jutott eszembe.
- A hozzászóláshoz be kell jelentkezni
Érdekes lenne számonkérni őket a zárt forrású kódok miatt, ha mellette a legnagyobb open source contributorok.
https://www.freecodecamp.org/news/the-top-contributors-to-github-2017-b…
- A hozzászóláshoz be kell jelentkezni
inkább fűtenének rendesen ebben az irodában
- A hozzászóláshoz be kell jelentkezni
B+, ezen felsírtam! Még jó hogy egyedül vagyok az irodában most :D
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
:D
- A hozzászóláshoz be kell jelentkezni
Az Apple és a Facebook nincs benne. Kiváló. Az IBM pedig két céggel is benne van.
- A hozzászóláshoz be kell jelentkezni
Hiba van a cikk nyitányában. Ott az szerepel az alapító tagok közt, hogy:
Microsoft
Helyesen:
Trójai Faló
Kéretik javítani...
- A hozzászóláshoz be kell jelentkezni
Annak azért nézz utána, hogy a Microsoft mint cég mennnyi kódot/javítást/munkát tolt be az opensource dolgokba már eddig is...
- A hozzászóláshoz be kell jelentkezni
Számtalanszor hallottam ezt a hülyeséget, igen, a szememben hülyeség, mert megkérdezem: szerinted ez ELLENTÉTELEZI és komnolyan azt a sok KÁRT, amit a nyílt forrás eszméje ellen elkövetett az évtizedek során?!
(Például a nevetséges szabadalmai, a patent trollkodás, zsarolások, FUD-ok, stb).
Nota bene, ha éntőlem függne a dolog, egyszerűen nem lettem volna elfogadni SEMMIT a Mikrofostól, nemhogy pénzt, de még KÜDOT és JAVÍTÁST se!
Akkor se ha jó a javítás. SEMMIT. Abszolúte semmit.
Úgyse hiszem el hogy nem a maga érdekében dolgozik valahogyan.
- A hozzászóláshoz be kell jelentkezni
Az ilyen cégek elég sokat hozzátettek a nyílt forráskódú dolgokhoz. A fejlesztőknek is meg kell élniük valamiből, sokszor pont ilyen cégek alkalmazottai.
A legnagyobb kárt a te hozzáállásod okozná, mármint ha azt követnék.
- A hozzászóláshoz be kell jelentkezni
Hallottad már azt a mondást, hogy:
„Félek a görögöktől ha ajándékot hoznak akkor is”.
Ha hallottad, kéretik alkalmazni a jelent microsoftos esetre.
- A hozzászóláshoz be kell jelentkezni
Akkor se ha jó a javítás. SEMMIT.
Tehát lényegében inkább legyen valami rossz, mintsem olyan valaki javítsa ki, aki neked nem szimpi? Érdekes.
- A hozzászóláshoz be kell jelentkezni
Mi lesz így a cél? backdoor-ok beépítése feltűnés nélkül?
- A hozzászóláshoz be kell jelentkezni
Lelki szemeim előtt az lebeg mi lett a Nokiával amikor oda küldték azt az álruhás egyszemlyes kommandót „vezetőnek”...
- A hozzászóláshoz be kell jelentkezni
Így használjál nyílt forrású programokat. Mert az mennyivel megbízhatóbb, hiszen áttekinthető a forráskódjuk. Aztán persze át is tekintik. Pénzért, teljes munkaidőben a Microsoft alkalmazottak. Kissé nevetséges. Trump ezt nem akarja betiltani? Ja nem, inkább adott rá dodót :D - Persze ez már csak súlyos konspirácó.
Látom, azért ott van a "Don't be evil" céG is.
- Indítsd újra a gépet! - Az egészet? - Nem, a felét...
- A hozzászóláshoz be kell jelentkezni
Aztán persze át is tekintik. Pénzért, teljes munkaidőben a Microsoft alkalmazottak.
Itt amúgy mire gondoltál? A Githubon az open source projektekbe az összes cég közül pont a Google és Microsoft tolták be a legtöbb commitot adta a legtöbb contributort. A Microsoftnál ráadásul annyi fizetett alkalmazott dolgozott ilyen projekteken, mint a Redhat + Google együtt. Szóval ja, pénzért, teljes munkaidőben. De mivel open source, így nyilvános a git history, meg lehet nézni, került-e bele malicious kód. #manyeyeballs
- A hozzászóláshoz be kell jelentkezni
Jó is a manyeyeballs ha source olvasgatásról van szó... De ne feledjük el, hogy ami a source-ben van, nem biztos, hogy az fut nálad. Kedvenc cikkem a témában: https://medium.com/hackernoon/im-harvesting-credit-card-numbers-and-pas…
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"
- A hozzászóláshoz be kell jelentkezni
"De ne feledjük el, hogy ami a source-ben van, nem biztos, hogy az fut nálad." - Tessék LFS-t használni, és természetesen az utolsó betűig átnézni az összes forráskódot, scriptet, meg úgy mindent _is_, amit a build-hez használsz. :-P Persze ezt még tetézd azzal, hogy az összes firmware-t _is_ saját kicsi kacsóddal fordítod és töltöd fel a megfelelő hardverkomponensbe, sőt nem is: a chipeket is te állítod elő az általad átvizsgált struktúrával (maszkok). :-D
- A hozzászóláshoz be kell jelentkezni
Azért az lássuk be, hogy a probléma nem csak elméleti:
https://securitylab.github.com/research/octopus-scanner-malware-open-so…
- A hozzászóláshoz be kell jelentkezni
a fordító is rakhat bele backdoort, csak szólok.
- A hozzászóláshoz be kell jelentkezni
Tudom - de valamivel meg kell csinálnia az első saját binárist...
- A hozzászóláshoz be kell jelentkezni
Igen, csak innentől lényegében nem bízhatsz semmiben. :)
A cikk viszont érdekes volt, köszi!
- A hozzászóláshoz be kell jelentkezni
mármint honnantól? :)
Ez a felismerés az IT security szakma tanulási görbéjének viszonylag az elején van ;)
szerintem.
- A hozzászóláshoz be kell jelentkezni