Hlavní navigace

Názor k článku Děravý Intel Management Engine lze nahradit minimalistickým Linuxem a Go od Mata Hari - >> Ad Da sa z neho velmi rychlo...

  • 30. 11. 2017 12:01

    ventYl

    >> Ad Da sa z neho velmi rychlo zistit, ze code execution chyby v kerneli samotnom (kernel core & surroundings) su dokopy asi 4 - bavme se o vulnerabilities a jejich procentu způsobenému drivery. Máte k tomu nějaká data?

    https://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/year-2017/opec-1/Linux-Linux-Kernel.html

    Su to 4 stranky, staci si to zbezne prelistovat. Na prvej stranke vidim 4 exec zranitelnosti, ktore sa dotykaju kernelu samotneho, zvysok su HTC/Qualcomm bootloadery / drivery. Na druhej stranke som videl tiez asi 3 zranitelnosti tykajuce sa samotneho kernelu, zvysok zasa drivery prim ma asi NVidia.

    Takze to vychadza zhruba tak, ze na 1 zranitelnost v kode kernelu, kde sa da predpokladat, ze commituju tie neoverene osoby o ktorych ani nikto nevie, ci v skutocnosti existuju pripada cca 10 zranitelnosti v kode driverov kam commituju ti prevereni programatori u ktorych sa overilo, ze maju deklarovane vzdelanie a kod presiel mnohostupnovym review.

    Takze nie, nedesi ma, ze kod opensource software-u nerobia ludia s previerkami, pretoze samotny fakt, ze je kod otvoreny je lepsou previerkou, ako ked si jedna korporatna krysa zreviewuje kod druhej korporatnej kryse. Neviem, pre koho pracujete a teda ci to, co mi o korporatnych review hovorite je niekde skutocnostou, vyplodom vasej fantazie, alebo vlhky sen, ale moja skusenost s 10k+ SW domom je, ze nic z toho co hovorite nie je pravda.