Vsechny vyjmenovane firmy totalne kaslou na Open source. Kdyby jim slo vazne o audit, tak podpori ty co s tim uz zacali. I kdyz dejme tomu, ze maji sve postrani duvody dal tlacit OpenSSL, tak budiz jim prano, ale specialne v pripadne OpenSSH je evidentni, ze jim nejde o podporu OpenSSH jako takoveho, ale o sve vlastni zajmy. Kdyby jim slo o opravdovou pomoc, tak jdou penize primo OpenSSH a spolupracuji s nima (coz i oni poptavali), ale Linux se opet rozhodl vydat proti zajmum Open source a komunity. Jen tak dal chlapci :D
Ale to jim nikdo nebrani podporovat to co jim vyhovuje. Jsou to jen firmy, kterym jde o komercni zisk a ne o dobro nebo uzivatele (o ty jen dokud plati nebo je z nich jiny uzitek jako v pripade Google).
Ale at si nechaji ty kecy o Open source na porady podobne postizenych na ohaneni se v Powerpointu.
Uzasne jak puvodni myslenka open source a hackeru za ty roky zdegenerovala diky Linuxu. Uzasny svet open source kde mezi sebou bojuji komercni giganti ala Google, Apple, Samsung a podobni a pouzivaji k tomu "svobodnou" licenci GPL. Bravo chlapci ! :D :D :D :D :D
Prave diky OpenSSH (a mnoha dalsim soucastem z xBSD sveta) a BSD licenci je krasne videt skutecnost okolo techto firem. Jiste, BSD je o tom prosadit kvalitni technicke reseni i kdyz se jedna o nasazeni komercni coz BSD v pohode umoznuje. To jim budiz prano, ale aspon nevedou takove ty srdceryvne kecy o Open source, protoze ten je vubec nezajima. Tyhle pindy vedou jen proto, ze je k tomu vicemene nuti GPL licence, ale realne ani ta nic nemeni. I kdyz vlastne ukazuje jeste lepe co jsou oni zac.
V ramci GSoC podporuji spoustu OS i projektu. S open source ani svobodou to nema vubec nic spolecneho. Je to cesta jak udelat snadno odpisy z dani a dostat se k pro ne prakticky vyhodnym technologiim bez nutnosti investovat cas a penize do vlastnich lidi (nebo pripadne takove nabirat). Jiste, zrovna pro systemy jako xBSD je to sice pekne, ze dostanou timto zpusobem financi podporu, ale z dlouhodobeho hlediska to moc stastne neni. A proc je BSD licence tak vyhodna pro komercni firmy to vi kazdy to de aspon trochu o tu licenci zajima.
K tomu, aby byl ve středu zájmu. K tomu, aby se o něm neustále mluvilo, aby byl všude. Říká se tomu marketing. Stačí se podívat na GSoC a najít si nějaké jeho kritiky. Zjednodušeně řečeno dostávají prostor jen projekty, které buď řeší nějaké problémy Google nebo mají potenciál získat pozornost.
Kdepak ty firmy byly cele ty roky, kdyz at uz OpenSSL nebo takove OpenSSH potrebovali penize, hmm? Kdepak byli ti velci a slavni zastanci Open source? ;-)
http://www.openssh.com/users.html
Jediny duvod proc delaji tuhle PR saskarnu je prave ta PR saskarna diky Heartbleed. Idealni cas se zviditelnit a hrat si na dobraky, kdyz predtim cele roky na to kaslali. Hlavne kdyz si da clovek do seznamu treba jen veci za posledni rok v souvislosti s bezpecnosti a US firmama jako Lavabit nebo Truecrypt a dalsi, tak snaha US firem o vetsi bezpecnost zni fakt pecka :D
Docela hodne z nich se dari velmi dobre vyhybat a ty ostatni se musi jinde silene patchovat aby se opravili neschopnosti z mainstreamu.
Ono vlastne paradoxne i MS ma sve svetle stranky jako https://www.usenix.org/system/files/1403_02-08_mickens.pdf
VIm velmi dobre, v cem se lisi OpenSSL a OpenSSH ;-) Taky vim velmi dobre, ze LibreSSL, ktere jedine dela poradny audit a opravu OpenSSL (ti ostatni ani neumi poradne programovat jak uz se ukazalo u nekolika forku, ne tak jeste aby vedeli neco o bezpecnosti) zadalo o spolupraci Linux Foundation. Ale kampak se pridalo Linux Foundation? Na stranu Open source? Ale kde ze, sli za Microsoft, Facebook, Amazon a dalsima a budou znovu objevovat kolo (coz je nejcastejsi funkce Linux systemu cim dal casteji).
_Linux_ Foundation se přidala na stranu společností, které chtějí auditovat OpenSSL. LibreSSL je cílené pouze na OpenBSD a spousta té pročišťovací práce visí na funkcích specifických pro Cčkovou knihovnu OpenBSD (strl[cpy|cat], reallocarray, ...). Navíc mi přijde, že LibreSSL se hlavně soustředí na zjednodušení a zpřehlednění kódu, ne na hledání bezpečnostních děr. Ne snad, že by mi to nepřišlo jako dobrý nápad, ale pokud se bude LibreSSL portovat i na jiné platformy, část těch ohavností, které vývojáři oslavně vyhodili se tam bude muset stejně nacpat zpátky. Počínání Linux Foundation tedy plně chápu, i když bych taky raději jen jeden fork udělaný fakt pořádně.
Linux Foundation se jen pridala na stranu firem, kterym smejdsky kod v OpenSSL vyhovuje a realne nechteji jeho zmenu z mnoha ruznych duvodu.
Doporucuju si neco zjistit o LibreSSL a take OpenSSH a dalsich, ktere jsou multiplatformni. Tvrdit, ze je cilene pouze na OpenBSD je uplne mimo.
Ceckova knihovna OpenBSD je velkou merou zastoupena napr. i v Androidu a mnoho funkci je i v jinych OS a nejsou specificke pro OpenBSD. Tedy v OS, ktere jsou moderni a maji snahu resit bezpecnost.
Opet omyl, ze LibreSSL je jen o zjednoduseni a zprehledeneni kodu. Doporucuju nastudovat a sledovat co vse se dela a pochopite, ze delaji velmi vyznamnou zmenu a vylepseni SSL co se tyce bezpecnosti.
Jak souvisi s bezpecnosti vynucovani slabsich sifer skrze FIPS nebo podpora VMS ci 16 bit Windows a podobnych veci tak to bych fakt rad slysel rozumne vysvetleni. A pokud je nekdo tak blby v otazce bezpecnosti, tak klidne at si to tam do LibreSSL zpatky da ;-)
Pocinani Linux foundation dopadne presne jako jine probihajici forky. Kupa hura-radoby-vyvojaru a takzvanych bezpecnostnich odborniku nahodne menicich dulezite casti kodu jako treba Debian a jeho na vice nez 2 roky poskozene SSH ci OpenSSL ignoruji nahlasene opravy pro bezpecnosti problemy klidne i v radu let.
LibreSSL na Linuxu nepřeložíte už kvůli chybějícím strl* funkcím, na jiných UNIXech zase bude chybět třeba explicit_bzero. LibreSSL v současném stavu rozhodně multiplatformní není. Prozatimní snahy o portování LibreSSL někam jinam mají zatím katastrofální výsledky (http://insanecoding.blogspot.cz/2014/04/common-libressl-porting-mistakes.html).
V rámci auditu OpenSSL už k něčemu skutečně došlo? Pokud ano, kde se to dozvím? V opačném případě se táži po původů vaší doměnky, že audit OpenSSL bude neprofesionálně provedená hurá akce.
(BTW na Androidu se používá Bionic, což je jakýsi slepenec glibc, BSD C a kódu od Google okleštěný o spoustu věcí, které na Androidu nejsou potřeba.)
Exisují pouze 2 důvody, proč firma bude utrácet za hledání chyb v open source:
a) dodává tento open source projekt zákazníkům a nechce si poškodit reputaci závažnými chybami, to by způsobilo ztrátu důvěry zákazníků a snížení tržeb
b) podporovat open source je možná v očích zákazníků populární, je to tedy dobrý marketingový nástroj
Firma si má hledět vlastníků (akcionářů), ti nesou riziko, že jejich vlastnictví se může stát bezcenným. Jakékoliv utrácení, jehož cílem není zvýšení nebo alespoň udržení tržeb, je vyhazování peněz oknem. Firmy ruší i činnosti, které na kterých je mizerná marže (rozdíl ceny zaplacené zákazníkem a nákladů). Nevyčítejte sousedovi, že neutrácí své peníze tak, jak si představujete, stačí že díky těmto sousedům máte práci a nejste vystaven každodennímu boji o výdělek. Pokud se vám to nelíbí, máte vždy možnost výběru - jistotu a malý plat vs. nejistou a neomezený výdělek nebo omezenou ztrátu. Chcete-li podporu open source, podporujte ho sám.
a) kdyz jsou zakaznici tak blbi, ze nevidi, ze to je jen o PR (a to nevidi prakticky zadny management, protoze tam jde o uplne jine veci nez o kvalitu nebo open source) a ze jim nevadi, ze IT se placa 30 let na miste a firmy, uzivatele si zvykli na chyby misto aby vyzadovali jejich opravu tak to je jiny problem
b) tady dopadlo kladivo na hlavicku hrebiku. Pro firmy je to jen a pouze marketingovy nastroj, nic jineho. Proti tomu samozrejme vubec zadna, to je jejich vec. Smutne je, ze je tolik oslu v komunite open source, kteri si mysli, ze ty firmy to delaji pro podporu neceho z toho proc vubec open source komunita vznikla. Takovych firem je naproste minimum a neni to ani jedna z tech znamych a velkych, pouze ty mensi
Ano, firma hledi na zisk, to je jeji primarni urceni - zadny problem s tim. Zakaznik chce co nejkvalitnejsi a zaroven vetsinou i nejlevnejsi vyrobek, rozhoduje on co chce a nikdo by mu nemel nic narizovat stejne jako by nemel byt monopol. Ale pak tady je komunita, ktera nema byt slepa a pokud nektera firma vykoleji ze svych puvodnich principu kde se to primo dotyka principu na kterych komunita vznikla, tak ma davat dostatecne najevo, ze ta firma jiz neni reprezentant komunity. Tim se krasne autoreguluji body 1 a 2 co se tyce open source. Ale aktualne je na trhu situace kdy je nekolik velkych firem aktive proti puvodni myslecne open source, prizpusobili ji svym komercnim potrebam a komunita tomu tleska jako necemu co je dobre pro open source. Bohuzel potrva nez ji to docvakne, pokud vubec jeste vcas nez ztrati vliv uz uplne (neni od toho daleko).