Vlákno názorů k článku
Dvě závažné zranitelnosti Windows 11
od Krtek Prcá Ježka - Pořád je těch kritických chyb zlomek toho co...
-
Rozdíl je v tom, že v Linuxu se na ty chyby přijde dříve, protože existují otevřené zdrojáky. Takže se to opraví, oprava se aplikuje a je klid.
Pro Windows sice zdrojáky volně k dispozici nemáme, ale to neznamená že je někdo nemá nebo že někdo jiný umí odhalit bezpečnostní nedostatky bez zdrojáků pouhým pohledem do binárek. Třeba kdysi jakýsi Russinovich, kterého Microsoft raději koupil, aby se moc nerozkřiklo, že Windows jsou už jen by-design děravý jako řešeto a vlastně žádný exploity nepotřebujete.
19. 5. 2026, 23:05 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatelRozdíl je v tom, že v Linuxu se na ty chyby přijde dříve, protože existují otevřené zdrojáky … nebo že někdo jiný umí odhalit bezpečnostní nedostatky bez zdrojáků pouhým pohledem do binárek
K odhalení většiny chyb nebyl pohled do zdrojáků potřeba. Nevím o tom, že by se někdy prokázalo, že v opensource je méně chyb. Nebo že by se na ně přicházelo dříve, protože se někdo dívá na zdrojáky. To bylo spíš takové zbožné přání.Výhoda opensource v tomhle je, že když už někdo na chybu přijde nebo na ni má silné podezření, snáz ji ověří a hlavně ji snáz může opravit. A pokud je zveřejněná oprava, může s ní už každý nakládat dle libosti, připravit si vlastní záplatu, hotfix apod. U closed source většinou nezbývá než čekat, než autor vydá oficiální opravu.
Teď s AI je možná situace jiná, protože LLM se zatím asi orientují převážně ve zdrojovém kódu. Ale je to jen otázka času, než někdo usoudí, že už se vyplatí natrénovat model i na strojovém kódu.
-
Filip JirsákStříbrný podporovatel
Ne.
Neřešíme totiž, jestli OSS pomáhá, ale jestli přínos OSS pro bezpečnost je vyšší, než přínos proprietárního software.
Takže proti vašemu MR stojí třeba to, že firma u proprietárního softwaru platí někoho, kdo se aktivně zabývá vyhledáváním bezpečnostních chyb.
-
Filip JirsákStříbrný podporovatel
Původní tvrzení bylo, že opensource obecně je bezpečnější než proprietární software, protože existují otevřené zdrojáky. pro porovnání tedy těžko můžeme vzít jen nějakou část opensource a tvrdit, že závěry platí pro veškerý opensource.
Ano, argumentace, že jeden PR opravující bezpečnostní chybu u opensource znamená, že je opensource bezpečnější, je opravdu chabá. Jak jsem psal, otevřené zdrojové kódy pomáhají v tom, že opravu chyby může udělat každý. Ale co se týče nalezení chyby, nezáleží na tom, zda jsou zdrojové kódy otevřené, ale na tom, zda v nich někdo chyby hledá. Zastánci tvrzení, že opensource je bezpečnější, vycházejí z předpokladu, že si spousta lidí jen tak po večerech čte zdrojáky opensource a hledá v nich chyby. Jenže tento předpoklad zjevně neplatí, jak ukazují mnohé nalezené triviální chyby, kterých si dlouho nikdo nevšiml a byly objevené náhodou (a nezávisle na tom, zda je kód otevřený).
I když firma neplatí nezávislý audit (mimochodem, já jsem nepsal, že nezávislý), pořád platí vývojáře za to, aby se zabývali kódem.
Aby bylo jasno – já netvrdím, že proprietární software je bezpečnější. Jenom vyvracím častou představu, že samotné zveřejnění kódu jej automaticky dělá bezpečnějším. Nedělá, protože pro bezpečnost není důležité, zda ten kód je veřejný, ale zda ho někdo „čte“.