Více veřejně známých bugů neznamená obecně větší zabugovanost. Je celkem logické, že do otevřeného zdrojového kódu vidí více lidí, tedy mohou potenciálně detekovat víc chyb, než v proprietárním zdrojovém kódu. Nicméně také na druhou stranu platí, že otevřený neznamená bezpečnější.
Apropos, vývoj těchto technologií stojí určité zdroje (čas, peníze, intelektuální kapacitu), je přirozené, že jejich architektury jsou uzavřené/chráněné patentem. Takže otevřený procesor je relativně utopická představa.
S tím otevřený neznamená bezpečnější, bych tak úplně nesouhlasil, možná otevřený znamená dříve vyspělejší ?
Do otevřeného SW kouká daleko více lidí a když něco najdou snaží se realizovat / zviditelnit.
Nad proprietální SW dohlíží managment, kterého zajímají víc zisky, ne kvalita.
Věřím, že když se v otevřeném HW něco podobného objeví, tak se o tom jednak bude vědět daleko dříve a jednak se už s tím objeví i celá řada návrhů na řešení.
Kouká více lidí a mezi nimi i více zločinců. A ti rozhodně po odhalení chyby nebudou se chtít zviditelnit, ale chybu co nejvíce a nejrychleji zneužít.
Otevřený kód samozřejmě usnadňuje hledání chyb, ale je otázkou, zda ti nejschopnější jsou na straně práva nebo zločinu. A kolik je jich poměrově mezi sebou.
Nesmyslna analogie. Closed source HW do sveta chodi.
Presnejsi by byla zverjnete kdy vase dite chodi do/z skoly, kudy chodi, jak ho vychovavate vs nechte si to na doma :)
Ale obe analogie jsou samozrejme zcela mimo, protoze vychovavat dite nestoji miliardy USD, coz je zakladni duvod, proc mainstreamove procesory nikdy open source nebudou.
Ale u Microsoft je program por podporu vládních agentur atd atd přesnej název mužu pozdeji dohledat a vlády která a maji s MS podepsanou smlouvu maj k dispozici zdrojový kody celých windows a windows serverů a maj povoleno provádět penetrační testy a zkoumání kodu za učelem toho jestli v systemu neni díra nebo zadní vrata takže windows se prověřen na urovni lepší než linux na linuxu maká komunita na windows makaj nejlepší odborníci například rusko porvěřuřje všechny produkty co jdou do státní správy už od verze windows 2003. takže detekce chyb je u MS prověřována z desítek laboratoří světa.
to je naivní představa, code base windows je tak obrovský, že jakékoliv prověření je dost problematické, tvrdit, že je Windows prověřen na lepší úrovni než linux je vycucané z prstu, netvrdím, že to tak není, ale vím, že to objektivně říct jen podle předpokladu, že to dělají vládní agentúry je dost varchlaté.
Ano, Linux má více známých bugů, tedy je výrazně méně zabugovaný, než Windows. Proč?
1. Windows je výrazně větší (množství kódu) a s velikostí SW roste i absolutní počet bugů -> absolutní počet bugů ve Windows > absolutní počet bugů v Linuxu
2. V Linuxu je jich nacházeno a opravováno řádově více -> absolutní počet bugů v Linuxu klesá rychleji, než ve Windows
3. Součástí Linuxu jsou ovladače (velká část bugů je právě v nich). Kdo kontroluje a opravuje ovladače u Windows? Pak jsou tu problémy jako zapomenutý debug keylogger v ovladači touchpadu (nebo zvukovky?) v noteboocích HP a mnoho dalších, o který nikdo (snad až na black hat hackery) neví ;)
Ti, kdo používají množství CVE jako argument bezpečnosti Windows (či obecně uzavřeného SW) žijí ve falešném pocitu bezpečí (bugy, o kterých nevíš, tě netrápí). To ovšem neznamená, že o tom bugu neví nikdo jiný a není aktivně zneužíván (tímto se živí hodně lidí).
> 3. Součástí Linuxu jsou ovladače (velká část
> bugů je právě v nich). Kdo kontroluje a
> opravuje ovladače u Windows?
Vzhledem k rozšířenosti platformy se najde dost lidí, kteří se tím zabývají. Opravné verze nějakých ovladačů vychází každou chvíli, i když se nejedná obvykle o ty systémové. Jistě, se zdrojáky by to šlo lépe, ale jelikož je stále hodně ovladačů v čistém C, HexRays decompiler opravdu hodně pomůže.
Co se týče keyloggeru u ovladače touchpadu, na jeho zapnutí bylo potřeba mít administrátorská práva, takže mi vlna kolem toho přišla spíš jako takové hype.
Neříkám, že to nebyl hype - jen je to takový nedávný příklad :)
Hodně lidí se tím zabývá nepochybně (je ale otázka kolik z nich má čisté úmysly), ale když jsem tedy před pár lety používal Win, tak ta frekvence updatů nijak závratná nebyla (a nevěřím, že by byl důvodem dokonalý kód) a pokud je to starší zařízení, tak je často nulová... Na novějších verzích Windows taky často ovladače přestanou fungovat (ne, že by Linuxové ovladače netrpěly nestabilním API, ale je to public kód, takže to většinou někdo opraví, i když výrobce už podporu neposkytuje).
Byla to hlavně reakce na rozšířenou mentalitu "Chyba (chybějící) v ovladačích na Linuxu? Chyba Linuxu! Chyba v ovladačích na Windows? Chyba firmy!"
Microsoft rád ty updaty sdružuje do formátu "více v jednom". Pak je otázka, kolik chyb jeden takový update opraví.
Pokud jde o ovladače třetích stran, ne všichni výrobci dávají aktualizace v rámci Wondows Update, takže si novější verze musíte najít sám (tzn. nepodílejí se na zvýšení frekvence updatů).
MS mnoho let vydával aktualizace každé druhé úterý v měsíci a jednalo se o spodní desítky aktualizací, kolik bylo opraveno chyb moc nešlo poznat. Jak to je s W10 netuším, už je nespravuji.
Kritických chyb zase tolik do roka není, Windows už také poměrně dospěl. Bezpečnost není jen o opravě aktualizací, škodlivý kód se musí do počítače dostat, musí se tam spustit, musí udělat tam udělat činnost, která je často neobvyklá a často musí také něco poslat zpátky po sití, tady všude se dá odhalit nebo zablokovat.
Současné OS si nemají co vyčítat a jak Linux, tak i Windows jsou s bezpečností na vysoké úrovni.